入侵檢測及防御方法的研究與應用

劉陽哈爾濱職業技術學院

入侵檢測及防御方法的研究與應用

劉陽
哈爾濱職業技術學院

網絡給人們的工作和生活帶來了便利。但同時也帶來了威脅。人們在習慣于網上獲取知識，網絡信息交流、網絡商品購買等活動的時候，一些對應的網絡侵害，甚至網絡犯罪也隨之而來。利用黑客工具，進行網絡攻擊非法的入侵他人網絡，從而獲得他人的通訊信息、他人隱私。甚至利用網絡工具對網站進行攻擊、通過電子銀行非法轉賬，獲得非法收入。保障網絡安全，防治網絡入侵，是一個亟待解決的問題。本文從網絡入侵的概念入手，對網絡入侵的常見手段，如何利用技術手段進行檢測，采取可行的網絡防御介紹等方面進行了詳細的闡述。

檢測技術 防火墻 信息安全 防御協同 電子商務

1 網絡安全問題簡介

網絡安全早就收到人們的關注，人們希望獲得一個真正安全的網絡環境。這既包含了網絡中硬件設備的安全，也包含軟件應用的安全。但是在實際的工作生活中，仍然存在很多的網絡安全問題。這是多方面原因構成的。一方面存在著網絡使用者，對網絡操作不夠規范，或者說沒有專業的知識，沒有經驗豐富的網絡管理人員造成了網絡中存在許多問題與漏洞。另一方面，黑客的刻意攻擊，使得網絡安全收到了巨大的威脅。這些攻擊網絡的黑客，有的是出于非法獲取利益和他人隱私的心態，有的是出于在虛擬世界證明自己的目的，但都對網絡安全造成了侵害。

2 黑客網絡入侵的常用手段

政府網站、銀行網站每年其實都經受著黑客的攻擊。要想全面的做好防御與反向檢測，就必須對黑客的攻擊手段進行了解。現下很多黑客是在一些黑客網站中進行交流，下載一些成型的黑客軟件進行攻擊。并不具備較高的計算機知識和網絡知識。這些黑客的攻擊，方式相對單一、攻擊方式有典型性，比較容易防御。但也存在一些黑客，喜歡研究計算機與網絡知識，這些黑客在攻擊軟件的源碼基礎上進行一些嘗試與創新，容易造成較大的傷害，增加防御難度。例如對計算機匯編語言熟悉，可以加深對低層硬件攻擊的理解。對于操作系統原理的掌握，能夠對網絡后門的尋找更加方便，也加大了防御的難度。以上都是抽象具體而言。但從總體上來說，黑客的攻擊主要是通過病毒與木馬或者惡意代碼來實現的。

可能有些對計算機知識了解不深的會感到疑惑，三者是不是相同的？答案當然是否定的。三者各有不同，這里不過多介紹。簡單說明不同之處。病毒的特性在于類似于生物學上的病毒。具有不同時期的不同特性，能夠潛伏，然后爆發。同時病毒具有復制性。木馬，我們首先想到的是電影中特洛伊木馬的形象，的確，木馬的特性主要是隱蔽，通過后門非法侵入的作用。而惡意代碼則更是廣義的概念。是起到一定破壞作用的計算機編碼。

3 常用入侵檢測技術的介紹

首先，異常入侵檢測技術異常檢測 （Anomaly detection）的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。其次，誤用入侵檢測技術又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。第一步，對已知的攻擊方法進行攻擊簽名（攻擊簽名是指用一種特定的方式來表示已知的攻擊模式）表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。

4 入侵防御方案

首先，可以使用入侵檢測系統。它的作用就是通過不同節點的信息收集，來判斷是否存在網絡入侵現象。曾經一度被認為是防火墻的進化產品，可以替代防火墻。但是在使用過程中發現，入侵檢測系統也存在著問題。經常會出現誤判操作。影響了網絡的正常使用。當然在入侵檢測系統不斷的發展完善過程中，這一現象也逐漸減少。而防火墻能夠起到門衛的作用。隔斷不信任網絡與自身網絡的連接。同時殺毒軟件針對不同的木馬和病毒，給出查殺方案，三者合作，是不錯的解決黑客入侵攻擊的方案。

［1］魏宇欣，武穆清.智能網格入侵檢測系統［J］.軟件學報. 2006（11）

［2］周鳴爭.基于核函數Fisher鑒別的異常入侵檢測［J］.電子與信息學報. 2006（09）