網絡安全維護中入侵檢測技術的有效應用

一、入侵檢測系統的分類

入侵檢測系統可以分為入侵檢測、入侵防御兩大類。其中入侵檢測系統是根據特定的安全策略，實時監控網絡及系統的運行狀態，盡量在非法入侵程序發起攻擊前發現其攻擊企圖，從而提高網絡系統資源的完整性和保密性。入侵檢測系統與入侵防御系統的區別在于：入侵檢測只具備單純的報警作用，而對于網絡入侵無法做出防御，而入侵防御系統則位于網絡與防火墻的硬件設備中間，當其檢測到惡意攻擊時，會在這種攻擊開始擴散前將其阻止在外。并且二者檢測攻擊的方法也不同，入侵防御系統對入網的數據包進行檢查，在確定該數據包的真正用途的前提下，再對其是否可以進入網絡進行判斷。

二、入侵檢測技術在維護計算機網絡安全中的應用

（1）基于網絡的入侵檢測。基于網絡的入侵檢測形式有基于硬件的，也有基于軟件的，不過二者的工作流程是相同的。它們將網絡接口的模式設置為混雜模式，以便于對全部流經該網段的數據進行時實監控，將其做出分析，再和數據庫中預定義的具備攻擊特征做出比較，從而將有害的攻擊數據包識別出來，做出響應，并記錄日志。一是入侵檢測的體系結構。網絡入侵檢測的體系結構通常由三部分組成，分別為Agent、Console以及Manager。其中Agent的作用是對網段內的數據包進行監視，找出攻擊信息并把相關的數據發送至管理器；Console的主要作用是負責收集代理處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關數據發送至管理器；Manager的主要作用則是響應配置攻擊警告信息，控制臺所發布的命令也由Manager來執行，再把代理所發出的攻擊警告發送至控制臺。二是入侵檢測的工作模式。基于網絡的入侵檢測，要在每個網段中部署多個入侵檢測代理，按照網絡結構的不同，其代理的連接形式也各不相同。如果網段的連接方式為總線式的集線器，則把代理與集線器中的某個端口相連接即可；如果為交換式以太網交換機，因為交換機無法共享媒價，因此只采用一個代理對整個子網進行監聽的辦法是無法實現的。因此可以利用交換機核心芯片中用于調試的端口中，將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵出入口，于是就可以獲取幾乎全部的關鍵數據。三是攻擊響應及升級攻擊特征庫、自定義攻擊特征。如果入侵檢測系統檢測出惡意攻擊信息，其響應方式有多種，例如發送電子郵件、記錄日志、通知管理員、查殺進程、切斷會話、通知管理員、啟動觸發器開始執行預設命令、取消用戶的賬號以及創建一個報告等等。升級攻擊特征庫可以把攻擊特征庫文件通過手動或者自動的形式由相關的站點中下載下來，再利用控制臺將其實時添加至攻擊特征庫中。而網絡管理員可以按照單位的資源狀況及其應用狀況，以入侵檢測系統特征庫為基礎來自定義攻擊特征，從而對單位的特定資源與應用進行保護。（2）對于主機的入侵檢測。通常對主機的入侵檢測會設置在被重點檢測的主機上，從而對本主機的系統審計日志、網絡實時連接等信息做出智能化的分析與判斷。如果發展可疑情況，則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能：對用戶的操作系統及其所做的所有行為進行全程監控；持續評估系統、應用以及數據的完整性，并進行主動的維護；創建全新的安全監控策略，實時更新；對于未經授權的行為進行檢測，并發出報警，同時也可以執行預設好的響應措施；將所有日志收集起來并加以保護，留作后用。基于主機的入侵檢測系統對于主機的保護很全面細致，但要在網路中全面部署成本太高。并且基于主機的入侵檢測系統工作時要占用被保護主機的處理資源，所以會降低被保護主機的性能。

三、入侵檢測技術存在的問題

第一，局限性。由于網絡入侵檢測系統只對與其直接連接的網段通信做出檢測，而不在同一網段的網絡包則無法檢測，因此如果網絡環境為交換以太網，則其監測范圍就會表現出一定的局限性，如果安裝多臺傳感器則又增加了系統的成本。第二，目前網絡入侵檢測系統一般采有的是特征檢測的方法，對于一些普通的攻擊來說可能比較有效，但是一些復雜的、計算量及分析時間均較大的攻擊則無法檢測。第三，監聽某些特定的數據包時可能會產生大量的分析數據，會影響系統的性能。第四，在處理會話過程的加密問題時，對于網絡入侵檢測技術來說相對較難，現階段通過加密通道的攻擊相對較少，但此問題會越來越突出。第五，入侵檢測系統自身不具備阻斷和隔離網絡攻擊的能力，不過可以與防火墻進行聯動，發現入侵行為后通過聯動協議通知防火墻，讓防火墻采取隔離手段。

現階段的入侵檢測技術相對來說還存在著一定的缺陷，很多單位在解決網絡入侵相關的安全問題時都采用基于主機與基于網絡相結合的入侵檢測系統。當然入侵檢測技術也在不斷的發展，數據挖掘異常檢測、神經網絡異常檢測、貝葉斯推理異常檢測、專家系統濫用檢測、狀態轉換分析濫用檢測等入侵檢測技術也越來越成熟。總之，用戶要提高計算機網絡系統的安全性，不僅僅要靠技術支持，還要依靠自身良好的維護與管理。