試析入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

梁海軍

摘要：信息社會的不斷進步與發(fā)展，網(wǎng)絡(luò)給人們帶來了前所未有的便利，同時也帶來了全新的挑戰(zhàn)。在網(wǎng)絡(luò)安全問題備受關(guān)注的影響下，極大地促進了入侵檢測技術(shù)的應(yīng)用與實施。通過入侵檢測技術(shù)的應(yīng)用，可以切實維護好計算機網(wǎng)絡(luò)的安全性與可靠性，避免個人信息出現(xiàn)泄漏、盜竊現(xiàn)象。該文主要針對入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用展開深入的研究，以供相關(guān)人士的借鑒。

關(guān)鍵詞：入侵檢測技術(shù)；網(wǎng)絡(luò)安全；應(yīng)用

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）35-0060-02

目前，入侵檢測技術(shù)在網(wǎng)絡(luò)安全中得到了廣泛的應(yīng)用，發(fā)揮著不可比擬的作用和優(yōu)勢，已經(jīng)成為了維護網(wǎng)絡(luò)安全的重要保障。在實際運行中，威脅網(wǎng)絡(luò)安全的因素比較多，帶給了網(wǎng)絡(luò)用戶極大的不便。因此，必須要加強入侵檢測技術(shù)的應(yīng)用，對計算機中的數(shù)據(jù)信息進行加密與處理，確保網(wǎng)絡(luò)用戶個人信息的完整性，創(chuàng)建良好的網(wǎng)絡(luò)安全環(huán)境，更好地提升網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)的滿意度。

1 入侵檢測技術(shù)的相關(guān)概述分析

1） 內(nèi)涵分析

該技術(shù)主要利用了現(xiàn)代先進科學(xué)的網(wǎng)絡(luò)安全技術(shù)，實時維護網(wǎng)絡(luò)安全，屬于一種全新的網(wǎng)絡(luò)安全審核技術(shù)。通過入侵檢測技術(shù)的應(yīng)用，做好網(wǎng)絡(luò)信息的收集與整理工作，準確檢測出網(wǎng)絡(luò)中潛在的非法網(wǎng)絡(luò)安全行為。實時監(jiān)督用戶、系統(tǒng)之間的相關(guān)活動，對入侵行為實施有效地偵查與判斷，第一時間向用戶發(fā)出相應(yīng)的提示與警報，避免網(wǎng)絡(luò)攻擊行為的發(fā)生。

2） 優(yōu)勢分析

首先，入侵檢測技術(shù)可以準確檢測授權(quán)程序和非授權(quán)的非法訪問程序，如果存在著網(wǎng)絡(luò)攻擊性因素，可以第一時間檢測出來，做到防患于未然。其次，通過入侵檢測技術(shù)的應(yīng)用，接入方式相比路由器、網(wǎng)絡(luò)防火墻等設(shè)備更為簡化、便捷，很難造成風(fēng)險因素的發(fā)生。如果出現(xiàn)了入侵檢測系統(tǒng)發(fā)生了故障情況，主機仍然可以繼續(xù)運作，維護網(wǎng)絡(luò)安全運行。同時，也不會影響到主機的CPU、IO等資源[1]，彰顯出網(wǎng)絡(luò)運行的良好性能。最后，入侵檢測技術(shù)在接入到網(wǎng)絡(luò)安全系統(tǒng)時，比較簡單，在網(wǎng)絡(luò)連接無誤的情況下，有效發(fā)揮出網(wǎng)絡(luò)數(shù)據(jù)的檢測作用。

2 入侵計算機網(wǎng)絡(luò)的方式分析

1） 網(wǎng)絡(luò)病毒攻擊

計算機病毒屬于一種可以自我復(fù)制的計算機程序，嚴重破壞著特定的系統(tǒng)資源，威脅著數(shù)據(jù)信息的完整性。對于網(wǎng)絡(luò)病毒來說，具有較強的傳染性和隱蔽性。現(xiàn)階段，病毒主要的入侵對象包括電子郵件和FTP文件等。

2） 身份攻擊

在網(wǎng)絡(luò)使用過程中，要對用戶身份加以確定，還要具備與此對應(yīng)的訪問權(quán)限。但是仍然存在著解決不法手段來扮演用戶對網(wǎng)絡(luò)加以入侵，造成了網(wǎng)絡(luò)攻擊行為的發(fā)生。對于與身份攻擊來說[2]，破壞者會尋找網(wǎng)絡(luò)中存在的空白點和薄弱點，會對其進行掃描。如果發(fā)現(xiàn)了漏洞，會對合法用戶的賬號信息加以盜取，嚴重威脅著主機系統(tǒng)中重要信息的安全性。

3） 拒絕服務(wù)攻擊

由于DOS的出現(xiàn)，極容易出現(xiàn)計算機死機和無響應(yīng)現(xiàn)象，給合法用戶帶來猝不及防的打擊。通過拒絕服務(wù)攻擊，將一定序列和數(shù)量的報文發(fā)送到網(wǎng)絡(luò)系統(tǒng)中，眾多需要回復(fù)的信息漫布在整個網(wǎng)絡(luò)服務(wù)器中，浪費和流失了諸多網(wǎng)絡(luò)系統(tǒng)資源，不利于計算機網(wǎng)絡(luò)的正常運行。

3 入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的具體應(yīng)用

3.1 廣泛應(yīng)用數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)

1） 數(shù)據(jù)挖掘技術(shù)，要求要深入分析互聯(lián)網(wǎng)中傳輸?shù)臄?shù)據(jù)、信息，及時檢測出失誤和異常的數(shù)據(jù)，并第一時間采取相應(yīng)的解決辦法。加強數(shù)據(jù)挖掘技術(shù)的應(yīng)用，可以有效發(fā)揮出該技術(shù)的運作優(yōu)勢，對網(wǎng)絡(luò)中出現(xiàn)的不正常運行程序進行合理的分類。并且還能夠提高數(shù)據(jù)辨別能力，確保數(shù)據(jù)能夠處于正常任務(wù)程序中，維護網(wǎng)絡(luò)安全。

2） 智能分布技術(shù)是入侵檢測技術(shù)的重要構(gòu)成內(nèi)容，其特點主要包括智能性、自我適應(yīng)性等方面，屬于網(wǎng)絡(luò)安全的檢測技術(shù)之一。通過智能分布技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，將網(wǎng)絡(luò)分成了若干個領(lǐng)域范圍，更加適用于校園網(wǎng)絡(luò)環(huán)境。并在各個檢測區(qū)域內(nèi)部設(shè)置相應(yīng)的檢測點，嚴格管控領(lǐng)域內(nèi)的檢測點所檢測到的信息，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)中是否存在入侵行為，確保網(wǎng)絡(luò)安全系統(tǒng)的高效運作。

3.2 合理應(yīng)用信息響應(yīng)與防火墻系統(tǒng)

通過信息響應(yīng)，可以及時反應(yīng)出入侵檢測系統(tǒng)中的信息攻擊行為，對信息實時狀態(tài)進行相應(yīng)的記錄，將信息及時通報至控制臺。在計算機系統(tǒng)中的眾多控制技術(shù)來說，有效保護用戶電腦系統(tǒng)的一切數(shù)據(jù)資源[3]，避免網(wǎng)絡(luò)入侵造成的攻擊行為的發(fā)生。在科學(xué)技術(shù)影響下，以往傳統(tǒng)的防火墻應(yīng)用與用戶的實際需求相差甚遠。因此，在入侵檢測技術(shù)不斷應(yīng)用過程中，要將入侵檢測技術(shù)與防火墻應(yīng)用充分結(jié)合在一起，相互借鑒、相互補充。并且將入侵檢測技術(shù)所攜帶的攻擊性數(shù)據(jù)及時消除，提供最為真實準確的計算機數(shù)據(jù)信息。構(gòu)建全新的防護體系。此外，通過兩者的高效結(jié)合，可以發(fā)揮出防火墻的過濾機制，對網(wǎng)絡(luò)上的數(shù)據(jù)進行深入解析。

3.3 分析協(xié)議技術(shù)和移動代理技術(shù)

1） 協(xié)議分析是一種新型的網(wǎng)絡(luò)入侵檢測技術(shù)，具有較強的便利性優(yōu)勢，處理效率比較高，不會浪費較多的系統(tǒng)資源，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為。分析協(xié)議在具體應(yīng)用中，首先，要對協(xié)議與捕捉碎片攻擊分析協(xié)議加以確認，深入剖析所有協(xié)議。如果存在IP碎片設(shè)置，要對數(shù)據(jù)包進行重新裝置，使系統(tǒng)能夠用最快的速度檢測出通過IDS躲避的攻擊手段，確保協(xié)議的完整性。其次，在模式匹配入侵檢測系統(tǒng)中，可以將發(fā)生解析協(xié)議的誤報率降至最低，借助命令解析器，可以做到正確理解所有特征串的內(nèi)涵，及時辨識出特征串的攻擊性因素。

2） 移動代理技術(shù)，可以代替客戶或代替其他檢測程序來進行安全檢測，實現(xiàn)在主機之間的自由轉(zhuǎn)換，打破時間和地域的限制，第一時間向客戶進行信息結(jié)果的反饋。對于移動代理技術(shù)來說，其優(yōu)點主要表現(xiàn)為：具有可以支持離線計算的強大功能，在網(wǎng)絡(luò)資源缺失的情況下，也可以確保網(wǎng)絡(luò)安全，降低破壞行為的發(fā)生；可以在不同主機上進行運作，無需將正在運行的程序終止，在不同主機上自由切換。

3.4 基于主機的入侵檢測系統(tǒng)

該系統(tǒng)簡稱為HIDS，HIDS安裝代理處于系統(tǒng)保護范圍之內(nèi)，將操作系統(tǒng)內(nèi)核與服務(wù)結(jié)合在一起，判斷主機系統(tǒng)審計日志與網(wǎng)絡(luò)連接的實際情況[4]，度所有系統(tǒng)事件實施全方位、多角度領(lǐng)域地監(jiān)督與控制。比如啟動內(nèi)核與API，以此來作為抵抗攻擊的重要手段，將系統(tǒng)事件日志化，對重要文件加以嚴格的監(jiān)督與控制。通過HIDS，有效檢測出類似像切斷連接和封殺賬戶等存在的入侵行為。但是對于該系統(tǒng)來說，也存在著一定的弊端，所需成本比較高昂，與操作系統(tǒng)和主機代理存在著較大的不同。主機代理要隨著系統(tǒng)的升級而升級，影響著相應(yīng)的安裝與維護工作。

3.5 入侵信息的收集與處理

入侵檢測技術(shù)往往通過數(shù)據(jù)的收集來對網(wǎng)絡(luò)系統(tǒng)的安全性加以判斷，系統(tǒng)日志和網(wǎng)絡(luò)日志等保密事宜、執(zhí)行程序中的限制操作行為等，要及時納入到網(wǎng)絡(luò)檢測數(shù)據(jù)中。計算機在網(wǎng)絡(luò)實際應(yīng)用中，要在相應(yīng)的網(wǎng)段中設(shè)置IDS代理，最少為一個，做好信息的收集工作。入侵檢測系統(tǒng)，要設(shè)置交換機構(gòu)內(nèi)部或者防火墻數(shù)據(jù)的出口和入口，為核心數(shù)據(jù)的采集提供一定的便利性。此外，在計算機系統(tǒng)入侵行為較少的情況下，要構(gòu)建集中處理的數(shù)據(jù)群，體現(xiàn)出入侵行為檢測的可針對性。

同時，在入侵信息收集之后，要采用模式匹配和異常情況分析等模式來進行信息處理，再由管理器進行統(tǒng)一解析。入侵檢測技術(shù)要及時將問題信息反映出來，并傳達給控制器，保證計算機系統(tǒng)和數(shù)據(jù)信息的完好無損。

4 結(jié)束語

綜上所述，加強入侵檢測技術(shù)的應(yīng)用，對于網(wǎng)絡(luò)安全具有不可忽視的影響，將網(wǎng)絡(luò)攻擊行為控制在萌芽狀態(tài)中。入侵檢測技術(shù)要不斷進行創(chuàng)新與優(yōu)化，推動入侵檢測技術(shù)朝著更具智能化和網(wǎng)絡(luò)化的方向前行。

參考文獻：

[1] 何偉明. 入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]. 計算機光盤軟件與應(yīng)用，2014，17（22）：181-182.

[2] 陳新和. 探討入侵檢測技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用[J]. 通訊世界，2014（1）：67-68.

[3] 莫新菊. 入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用研究[J]. 計算機光盤軟件與應(yīng)用，2012，15（18）：68-69.

[4] 伍暉平，金亞民，蔡青有. 入侵檢測技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用[J]. 電力安全技術(shù)，2007（10）：53-55.