網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

摘 要

隨著全球信息化，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)逐漸滲透到人們?nèi)粘Ｉ钪小Ｋo人們帶來便利的同時(shí)，也帶來了許多安全風(fēng)險(xiǎn)與隱患。而入侵檢測技術(shù)能夠及時(shí)的檢測出計(jì)算機(jī)中出現(xiàn)的不安全因素，并且采取相應(yīng)措施，有效的保障了網(wǎng)絡(luò)的安全。因此，本文，首先對(duì)入侵檢測系統(tǒng)的相關(guān)概念及其技術(shù)進(jìn)行了闡述，分析了目前網(wǎng)絡(luò)安全中使用入侵檢測技術(shù)存在的問題，最后提出了網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。

【關(guān)鍵詞】入侵檢測系統(tǒng) 網(wǎng)絡(luò)安全 設(shè)計(jì)與實(shí)現(xiàn)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用，不僅改變了人們工作、學(xué)習(xí)和生活的方式，更為重要的是改變了人們獲取信息資源的方式與途徑。它的出現(xiàn)給人們帶來極大便利的同時(shí)，也帶來了網(wǎng)絡(luò)安全的隱患。一旦計(jì)算機(jī)系統(tǒng)的正常運(yùn)行受到網(wǎng)絡(luò)入侵，不僅降低了計(jì)算機(jī)的運(yùn)行效率，而且也會(huì)造成保密信息的泄露，給人們帶來不可估量的損失。因此，為了在不影響網(wǎng)絡(luò)性能的前提下，有效的解決上述問題，就必須采用入侵檢測系統(tǒng)，來彌補(bǔ)防火墻系統(tǒng)的不足，并且對(duì)系統(tǒng)的安全與操作進(jìn)行實(shí)時(shí)的保護(hù)。

1 入侵檢測系統(tǒng)概述

1.1 入侵檢測系統(tǒng)概念

入侵檢測系統(tǒng)，指的是對(duì)入侵計(jì)算機(jī)系統(tǒng)的惡意使用行為進(jìn)行識(shí)別、診斷和處理的系統(tǒng)。當(dāng)計(jì)算機(jī)處于網(wǎng)絡(luò)環(huán)境中運(yùn)行時(shí)，就會(huì)存在許多不安全因素，當(dāng)受到病毒、蠕蟲等之類的惡意攻擊時(shí)，就會(huì)導(dǎo)致計(jì)算機(jī)的運(yùn)行效率降低，甚至整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)癱瘓。因此，當(dāng)入侵檢測系統(tǒng)檢測到系統(tǒng)異常時(shí)，會(huì)及時(shí)的采取相應(yīng)保護(hù)措施，避免計(jì)算機(jī)受到干擾。網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)是針對(duì)防火墻系統(tǒng)的不足而產(chǎn)生的。

1.2 入侵檢測系統(tǒng)分類

根據(jù)數(shù)據(jù)的來源不同，我們通常將入侵檢測系統(tǒng)分為兩類：基于主機(jī)入侵檢測系統(tǒng)與基于網(wǎng)絡(luò)入侵檢測系統(tǒng)。其中，基于主機(jī)入侵檢測系統(tǒng)，指的是將主機(jī)作為重點(diǎn)檢測的對(duì)象，通過對(duì)主機(jī)進(jìn)行入侵檢測設(shè)置，根據(jù)主機(jī)的運(yùn)行狀況來判斷是否受到攻擊。該系統(tǒng)能夠全面、實(shí)時(shí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)上用戶操作行為進(jìn)行監(jiān)控，當(dāng)出現(xiàn)網(wǎng)絡(luò)異常時(shí)，及時(shí)進(jìn)行預(yù)警，從而保護(hù)整個(gè)網(wǎng)絡(luò)的安全。同時(shí)，該系統(tǒng)還能夠?qū)粜袨槭欠裼行нM(jìn)行判斷，以此為主機(jī)的決策行為提供依據(jù)；基于網(wǎng)絡(luò)入侵檢測系統(tǒng)，指的是在無法給客戶提供單獨(dú)檢測服務(wù)時(shí)，通過設(shè)置多個(gè)安全點(diǎn)，對(duì)多個(gè)網(wǎng)絡(luò)的通信進(jìn)行實(shí)時(shí)的檢測。因此，該系統(tǒng)具有檢測成本低、檢測速度較快的特點(diǎn)。同時(shí)能夠及時(shí)的發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)通信遭到惡意或病毒攻擊，并且及時(shí)的向檢測系統(tǒng)發(fā)送網(wǎng)絡(luò)報(bào)告，并采取相應(yīng)的措施來阻止入侵。由于基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，不需要對(duì)主機(jī)進(jìn)行安裝設(shè)置，而且不受時(shí)間與地點(diǎn)的影響，能夠快速的做出反應(yīng)及應(yīng)對(duì)措施，大大的提高網(wǎng)絡(luò)安全入侵的檢測效率。

1.3 入侵檢測技術(shù)方法

在傳統(tǒng)上，通常將入侵檢測技術(shù)方法分為誤用入侵檢測法、異常入侵檢測法、混合型檢測方法。其中，誤用入侵檢測指的是根據(jù)已知的攻擊特征，直接檢測出入侵行為，該方法需要及時(shí)的更新特征庫，無法檢測未知攻擊；異常入侵檢測法指的是通過建立目標(biāo)系統(tǒng)與用戶的模型，來檢測系統(tǒng)用戶的實(shí)際行為，從而判斷用戶行為是否對(duì)網(wǎng)絡(luò)安全進(jìn)行攻擊，具有良好的檢測未知攻擊能力。因此，為了綜合利用上述兩種技術(shù)的優(yōu)點(diǎn)，提高入侵檢測系統(tǒng)的性能，從而提出了混合型檢測方法。

1.4 入侵檢測系統(tǒng)工作流程

入侵檢測系統(tǒng)工作流程通常分為以下三步：

（1）對(duì)系統(tǒng)、網(wǎng)絡(luò)、傳輸數(shù)據(jù)以及用戶行為的信息收集；

（2）將收集到的信息，送到傳感器中檢測引擎進(jìn)行分析，當(dāng)檢測到異常時(shí)，會(huì)發(fā)送預(yù)警信息給控制中心；

（3）控制中心收到預(yù)警后，會(huì)根據(jù)預(yù)警采取相應(yīng)的處理措施。

2 網(wǎng)絡(luò)安全系統(tǒng)中入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 系統(tǒng)模型

本文所設(shè)計(jì)的是一種基于混合型檢測技術(shù)、基于網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)。

2.2 功能模塊

入侵檢測系統(tǒng)由探測代理模塊、監(jiān)視代理模塊和策略執(zhí)行代理模塊構(gòu)成。其中：

探測代理模塊是整個(gè)檢測系統(tǒng)的基層模塊，主要功能是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行數(shù)據(jù)信息的獲取，經(jīng)過統(tǒng)一的預(yù)處理之后，采用基于特征匹配的誤用檢測技術(shù)進(jìn)行數(shù)據(jù)分析是否存在入侵行為，如有入侵，及時(shí)的將預(yù)警信息發(fā)送給監(jiān)視代理，然后從監(jiān)視代理的指令中獲取參數(shù)配置信息，調(diào)整參數(shù)后重新啟動(dòng)檢測引擎。

監(jiān)視代理模塊是整個(gè)檢測系統(tǒng)的高層檢測組件，主要功能是對(duì)探測代理模塊提供的預(yù)警信息進(jìn)行有效識(shí)別，然后將不同的探測代理模塊的預(yù)警信息綜合起來，分析他們的關(guān)聯(lián)度，以便有效的檢測每個(gè)區(qū)域內(nèi)的入侵事件。當(dāng)預(yù)警信息確認(rèn)后，監(jiān)視代理將它和所有的響應(yīng)措施進(jìn)行匹配，確定相應(yīng)措施后，將預(yù)警及措施發(fā)送給策略執(zhí)行代理。

策略執(zhí)行代理模塊是整個(gè)檢測系統(tǒng)中最重要的環(huán)節(jié)，沒有它檢測系統(tǒng)顯得毫無意義。其主要功能是將收到的預(yù)警信息通過郵件發(fā)送給系統(tǒng)管理員，然后啟動(dòng)對(duì)探測代理指令的響應(yīng)策略，如修改文件、連接復(fù)位、殺死異常進(jìn)程等，并且對(duì)網(wǎng)絡(luò)中的防火墻系統(tǒng)的設(shè)定進(jìn)行重新配置。

2.3 工作流程

首先，入侵檢測系統(tǒng)的探測代理模塊設(shè)置系統(tǒng)工作初始值，并且確定系統(tǒng)工作的運(yùn)行模式。在系統(tǒng)運(yùn)行過程中，通過消息映射機(jī)制調(diào)用庫函數(shù)，完成系統(tǒng)相應(yīng)的操作。然后，在捕獲與解析模塊收到系統(tǒng)數(shù)據(jù)包的消息后，根據(jù)所設(shè)定的工作參數(shù)調(diào)用相關(guān)處理函數(shù)，不僅對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)采集，而且也對(duì)所讀取的數(shù)據(jù)信息進(jìn)行分析。接下來是調(diào)用解析進(jìn)程，構(gòu)造一個(gè)二維鏈表，最后主函數(shù)啟動(dòng)數(shù)據(jù)截獲和處理進(jìn)程，判斷是否存在入侵行為。

3 結(jié)語

綜上所述，入侵檢測技術(shù)作為計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)的有效措施，在系統(tǒng)受到危害前及時(shí)的進(jìn)行攔截，并且采取相應(yīng)措施防止入侵行為。然而，我國的網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)仍然存在很多的問題，因此，我們必須有針對(duì)性的進(jìn)行深入研究，并且提出相應(yīng)的解決措施，對(duì)其不斷的進(jìn)行完善與創(chuàng)新，促使入侵檢測系統(tǒng)的檢測性能得到提高。

參考文獻(xiàn)

[1]劉成.試論入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（02）：16-16.

[2]吳卉男.計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的研究與設(shè)計(jì)[J].通訊世界，2016（01）：182-182.

[3]楊培枝.網(wǎng)絡(luò)安全中入侵檢測技術(shù)的應(yīng)用研究[J].中國新通信，2016（12）.

[4]王宇祥.入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中運(yùn)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（04）：22-22.

作者簡介

張亮（1982-），女，江西省吉安市人。碩士學(xué)位。現(xiàn)為南昌大學(xué)人民武裝學(xué)院講師。研究方向?yàn)樾畔⒓夹g(shù)。

作者單位

南昌大學(xué)人民武裝學(xué)院 江西省南昌市 330043