網(wǎng)絡(luò)安全入侵檢測(cè)研究

張楠

摘 要 近年來，計(jì)算機(jī)的網(wǎng)絡(luò)安全技術(shù)得到了迅速發(fā)展，為了能夠?yàn)樽詣?dòng)化技術(shù)的功能發(fā)揮創(chuàng)造一個(gè)秩序化以及非常可靠的操作氛圍，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展一定要與信息化計(jì)算機(jī)技術(shù)的發(fā)展步伐相一致。本文主要是以網(wǎng)絡(luò)安全入侵檢測(cè)為研究對(duì)象，之后通過異常性的檢測(cè)技術(shù)、誤用性的檢測(cè)技術(shù)以及完整性的檢測(cè)技術(shù)三大方面對(duì)研究對(duì)象進(jìn)行進(jìn)一步的探討和分析。

關(guān)鍵詞 網(wǎng)絡(luò)安全；入侵；檢測(cè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）13-0130-01

一般情況下，網(wǎng)絡(luò)安全的入侵檢測(cè)是通過系統(tǒng)來對(duì)數(shù)據(jù)進(jìn)行審計(jì)的，主要包含系統(tǒng)程序、操作系統(tǒng)收集、應(yīng)用程序以及網(wǎng)絡(luò)包等數(shù)據(jù)信息，找出檢測(cè)系統(tǒng)當(dāng)中那些與網(wǎng)絡(luò)安全策略相違背或者給系統(tǒng)的安全帶來威脅的行為，對(duì)于準(zhǔn)備入侵、正在入侵以及已經(jīng)入侵的行為做出識(shí)別，同時(shí)采用相關(guān)保護(hù)策略的一種先進(jìn)技術(shù)。有著入侵檢測(cè)作用的系統(tǒng)一般把它稱作入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)的核心是入侵檢測(cè)技術(shù)。它會(huì)給檢測(cè)的結(jié)果、檢測(cè)的效率以及誤報(bào)率帶來直接的影響。入侵檢測(cè)的技術(shù)一般分為三大類：異常性的檢測(cè)技術(shù)，誤用性的檢測(cè)技術(shù)以及完整性的檢測(cè)技術(shù)。詳細(xì)的論述請(qǐng)見下文。

1 異常性的檢測(cè)技術(shù)

異常性的檢測(cè)技術(shù)也被稱作為行為檢測(cè)技術(shù)，它一般是按照應(yīng)用者的具體行為以及資源的使用情況是否與正常的情況出現(xiàn)偏差來對(duì)入侵的行為進(jìn)行判斷的。在異常的檢測(cè)過程中，所觀測(cè)到的并不是一些已知的入侵行為，而是通信當(dāng)中的一些不正常現(xiàn)象。這些不正常的現(xiàn)象一般可分為三種情況：一是內(nèi)部的滲透；二是不恰當(dāng)資源的使用；三是外部的闖入。

異常性檢測(cè)的核心問題是正常使用模式的搭建以及怎樣使用這個(gè)模式來對(duì)當(dāng)前的用戶行為和系統(tǒng)進(jìn)行比較，進(jìn)而對(duì)正常模式下的偏離情況進(jìn)行準(zhǔn)確的判斷。而異常性的檢測(cè)與系統(tǒng)一般是沒有關(guān)系的，而且通用性一般都是比較強(qiáng)的，不會(huì)受到已知知識(shí)的局限，所以有些時(shí)候該技術(shù)還可以檢測(cè)出一些未知的入侵行為。不過，異常性的檢鍘技術(shù)也有一些問題存在，主要體現(xiàn)在以下幾方面的內(nèi)容。

1）怎樣才能相對(duì)有效的對(duì)用戶的正常行為模式進(jìn)行表示？也就是說選擇哪些信息數(shù)據(jù)才能夠?qū)τ脩舻男袨檫M(jìn)行有效的反饋，同時(shí)這些信息數(shù)據(jù)在收集以及處理的過程中更加的容易。因?yàn)橛脩粢约跋到y(tǒng)的行為會(huì)不斷的變化，所以正常的模式有著一定的時(shí)效性，并且還要不斷的進(jìn)行更新和修復(fù)，而當(dāng)用戶的行為突然間發(fā)生變化時(shí)，容易發(fā)生誤報(bào)現(xiàn)象。

2）闡值的確定一般不是很容易。當(dāng)闡值設(shè)定的比較高時(shí)，很容易發(fā)生漏報(bào)現(xiàn)象，而闡值設(shè)定相對(duì)比較低時(shí)，又很容易發(fā)生誤報(bào)的現(xiàn)象。因?yàn)闆]有辦法對(duì)系統(tǒng)的每一個(gè)用戶行為都做出全方位的描述，在用戶數(shù)量比較多、用戶行為變化比較頻繁時(shí)，就會(huì)提高系統(tǒng)的誤報(bào)率。

3）異常性的檢測(cè)技術(shù)訓(xùn)練的時(shí)間一般比較長(zhǎng)。因?yàn)楫惓Ｐ缘臋z測(cè)技術(shù)的判定標(biāo)準(zhǔn)不是很準(zhǔn)確，并且有很高的誤檢率，所以很多異常性的入侵檢測(cè)系統(tǒng)都長(zhǎng)時(shí)間的停留在了分析以及研究領(lǐng)域。

2 誤用性的檢測(cè)技術(shù)

誤用性的檢測(cè)技術(shù)首先要做的就是給特定入侵的行為模式進(jìn)行編碼，搭建一個(gè)入侵的模式庫。之后過濾檢測(cè)中所采集到的審計(jì)事件信息數(shù)據(jù)，檢查一下是否包括入侵模式來對(duì)攻擊進(jìn)行檢測(cè)。誤用性的檢測(cè)技術(shù)也可以被稱作知識(shí)性檢測(cè)或者是特征性的檢測(cè)。它一般是通過對(duì)攻擊過程的具體條件、特點(diǎn)、排序以及事件之間具體關(guān)系的分析來對(duì)攻擊行為的跡象進(jìn)行描述。與異常性的入侵檢測(cè)技術(shù)正好是相反的，誤用性的入侵檢測(cè)技術(shù)一般是按照之前定好的入侵方式對(duì)用戶的活動(dòng)行為做出模式匹配，之后對(duì)入侵的行為進(jìn)行檢測(cè)。

誤用性檢測(cè)技術(shù)的核心是怎樣通過入侵的模式來對(duì)入侵的具體活動(dòng)特征等進(jìn)行準(zhǔn)確的描述，進(jìn)而對(duì)入侵進(jìn)行有效的監(jiān)測(cè)。因?yàn)檎`用性的檢測(cè)技術(shù)一般是針對(duì)入侵的模式庫來做出具體的判斷，檢測(cè)率一般是比較高的，另外，由于檢測(cè)結(jié)果有比較明確的對(duì)照，為管理員的管理帶來了很大的方便。不過，誤用性的檢測(cè)技術(shù)也有一些問題，主要體現(xiàn)在以下幾個(gè)方面。

1）入侵模式庫具有一定的局限性，一般只能對(duì)己知的入侵模式進(jìn)行檢測(cè)，對(duì)一些已知入侵的變形以及未知性的入侵就束手無策了。

2）入侵模式庫在維護(hù)的過程中工作量比較大。必須具有完備的入侵模式庫，大量的入侵行為才能被檢測(cè)出來。伴隨新入侵方法的逐步出現(xiàn)，入侵模式庫也一定要逐步的更新才可以。

3）具體系統(tǒng)的依賴性比較強(qiáng)，移植性太差。因?yàn)檎`用性檢測(cè)技術(shù)的原理比較容易，所以目前在入侵領(lǐng)域當(dāng)中被廣泛的應(yīng)用，很多的商用系統(tǒng)都使用了誤用性的入侵檢測(cè)技術(shù)。

3 完整性的檢測(cè)技術(shù)

完整性的檢測(cè)技術(shù)是一種相對(duì)比較容易并且效率比較高的檢測(cè)方法。它生成一個(gè)校驗(yàn)和為系統(tǒng)的各個(gè)文件，之后周期性的把檢驗(yàn)和和源文件來做對(duì)比，目的是保證文件不被篡改。一旦文件未經(jīng)過授權(quán)就被篡改，就會(huì)自動(dòng)的報(bào)警。

每一個(gè)系統(tǒng)在正常運(yùn)營(yíng)的時(shí)候都會(huì)引起很多文件的規(guī)則發(fā)生一系列的變化。所以，一定要仔細(xì)的對(duì)完整性檢驗(yàn)IDS進(jìn)行調(diào)整，防止誤報(bào)現(xiàn)象的發(fā)生。當(dāng)合法變換發(fā)生的時(shí)候，一定要對(duì)校驗(yàn)和進(jìn)行重置。

另外，完整性的檢測(cè)技術(shù)還可以對(duì)網(wǎng)頁的篡改進(jìn)行檢測(cè)。入侵者經(jīng)常能夠進(jìn)入到?jīng)]有打補(bǔ)丁的web服務(wù)器里面，對(duì)web服務(wù)器中的一些內(nèi)容進(jìn)行修改。完整性的檢測(cè)技術(shù)還能對(duì)一些比較特別的web文件生成校驗(yàn)和，并對(duì)其進(jìn)行監(jiān)測(cè)。一旦入侵者將要對(duì)web頁面的內(nèi)容進(jìn)行修改時(shí)，校驗(yàn)和的檢測(cè)就會(huì)失敗，這時(shí)相關(guān)的工作人員就會(huì)察覺到。網(wǎng)站發(fā)布的一些網(wǎng)頁文件絕對(duì)不可以經(jīng)常性的進(jìn)行修改，要不然就會(huì)導(dǎo)致很多誤報(bào)現(xiàn)象的發(fā)生。

4 結(jié)束語

綜上所述，入侵檢測(cè)系統(tǒng)一般會(huì)先通過對(duì)計(jì)算機(jī)主機(jī)系統(tǒng)以及網(wǎng)絡(luò)當(dāng)中的核心數(shù)據(jù)信息來進(jìn)行實(shí)時(shí)的分析和收集，進(jìn)而對(duì)一些合法用戶對(duì)資源的濫用以及非法用戶的入侵行為做出正確的判斷，同時(shí)做出相應(yīng)的反映。入侵檢測(cè)系統(tǒng)在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)之上，完成了響應(yīng)和檢測(cè)，起到了充分的防御功能，對(duì)網(wǎng)絡(luò)安全事故的處理實(shí)現(xiàn)了事后發(fā)現(xiàn)到事前預(yù)警以及自動(dòng)化響應(yīng)的過渡，同時(shí)還能提供更多的有效證據(jù)來追究入侵者的法律責(zé)任。由此可以看出，該技術(shù)的出現(xiàn)意味著對(duì)網(wǎng)絡(luò)安全領(lǐng)域方面的研究已經(jīng)跨入了一個(gè)全新的時(shí)代。

參考文獻(xiàn)

[l]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2012（11）.

[2]劉明.試析計(jì)算機(jī)網(wǎng)絡(luò)入便檢測(cè)技術(shù)及其安全防范[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2012（1）.

[3]崔煒.網(wǎng)絡(luò)安全技術(shù)分析與探討[J].科技信息，2012（24）.endprint