計算機網(wǎng)絡安全維護中入侵檢測技術的應用與實踐探析

摘要：由于網(wǎng)絡具有較強的開放性特征，因此在實際使用計算機時，網(wǎng)絡系統(tǒng)常面臨各種入侵威脅，從而影響計算機網(wǎng)絡安全。然而，通過合理運用入侵檢測技術，可以有效解決這一問題。為此，文章首先對入侵檢測技術及其行業(yè)市場現(xiàn)狀進行簡要介紹，同時分析幾種常見的入侵檢測技術。并基于此，從入侵特征提取、入侵行為分析以及入侵防護等多個層面，深入探討入侵檢測技術在計算機網(wǎng)絡安全維護中的應用與實踐，以期推動計算機網(wǎng)絡安全維護工作持續(xù)向好發(fā)展。

關鍵詞：入侵檢測技術；健康發(fā)展；計算機網(wǎng)絡安全維護；合理運用

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）32-0071-03 開放科學（資源服務）標識碼（OSID） ：

0 引言

現(xiàn)代化網(wǎng)絡信息技術的迅猛發(fā)展，使得計算機在人們的日常生活與工作中得到廣泛普及與應用，顯著提升了人們的生活品質與工作效率。然而，在實際使用計算機過程中，經(jīng)常會遭遇病毒入侵、黑客攻擊等網(wǎng)絡安全問題，這對個人或企業(yè)的信息安全構成重大威脅。因此，深入研究計算機網(wǎng)絡安全維護中入侵檢測技術的應用與實踐顯得尤為重要。這有助于進一步提升入侵檢測效果，更有效地防控各類惡意入侵，為人們安全使用計算機提供有力保障。

1 入侵檢測技術及其行業(yè)市場現(xiàn)狀概述

1.1 入侵檢測技術

對于入侵檢測技術而言，它主要是為了確保計算機網(wǎng)絡系統(tǒng)安全性而專門設計或配置的一系列技術。這些技術能夠及時發(fā)現(xiàn)并準確報告系統(tǒng)中存在的未授權或異常現(xiàn)象。從本質上看，入侵檢測技術是一種用于檢測計算機網(wǎng)絡中各種違反安全策略行為的技術。此技術主要用于對計算機網(wǎng)絡系統(tǒng)進行檢測，能夠監(jiān)控系統(tǒng)運行期間出現(xiàn)的各類異常數(shù)據(jù)或行為，并分析這些數(shù)據(jù)或行為是否會對計算機網(wǎng)絡系統(tǒng)的穩(wěn)定正常運行造成影響。在此基礎上，判斷是否存在相應的攻擊行為。如果檢測并判定為不安全行為，入侵檢測技術能夠及時采取一系列對應的防護措施。其具體工作原理如圖1所示。現(xiàn)階段，入侵檢測技術的主要檢測內容包括試圖闖入、成功闖入以及惡意使用等多個方面。其做出的防護反應大多為自動化，例如，可以通過控制臺或電子郵件等多種形式自動通知相關管理人員；可以自動終止入侵進程；可以自動關閉計算機系統(tǒng)或斷開計算機與互聯(lián)網(wǎng)的連接；也可以執(zhí)行預設的阻止、防范或反擊命令等。

1.2 入侵檢測行業(yè)市場現(xiàn)狀

近幾年，隨著現(xiàn)代化網(wǎng)絡信息技術的持續(xù)發(fā)展，數(shù)字經(jīng)濟時代加速到來。在這一時代背景下，社會各行各業(yè)均開始推進數(shù)字化發(fā)展進程。受此影響，網(wǎng)絡安全問題日益受到各領域的高度重視，這也為入侵檢測行業(yè)帶來了巨大的發(fā)展空間。根據(jù)有關部門統(tǒng)計的數(shù)據(jù)顯示，截至2022年，全球入侵檢測及防御市場規(guī)模已達到336.74億元，預計至2028年將達到446.19 億元，整個預測期間的年復合增長率接近4.70%。而我國入侵檢測行業(yè)市場規(guī)模約為25.48億元，相較于2021年增長了大約13.7%，預計到2023年市場規(guī)模將達到28.55億元左右。在國內市場中，奇安信、綠盟科技、深信服科技以及安恒信息等企業(yè)占據(jù)著主導地位，具體市場份額如表1所示。從這些數(shù)據(jù)不難看出，無論是國內還是國際，入侵檢測行業(yè)均呈現(xiàn)出持續(xù)向好的發(fā)展態(tài)勢，其未來發(fā)展前景十分廣闊[1]。

2 常見入侵檢測技術分析

2.1 基于主機的入侵檢測技術

對于此類入侵檢測技術而言，其主要針對主機進行檢測。需要將入侵檢測系統(tǒng)有效安裝在受保護的相應主機中，從而使主機成為入侵情報的核心來源。入侵檢測系統(tǒng)能夠依據(jù)從主機中獲取的信息，有效判斷并分析系統(tǒng)當前是否存在漏洞、是否遭受非法攻擊等。一旦判定存在異常，能夠立即做出響應，并向計算機的管理人員發(fā)出警報。此類入侵檢測技術在計算機網(wǎng)絡系統(tǒng)應用早期具有相對較高的性價比。然而，由于主機與檢測之間存在耦合關系，隨著主機占用資源的持續(xù)增加，入侵檢測性能可能會持續(xù)下降。此外，基于主機的入侵檢測技術對于拒絕服務攻擊的保護能力相對較弱，且存在軟件方面可移植性較差等缺陷。

2.2 基于網(wǎng)絡的入侵檢測技術

此種入侵檢測技術能夠對網(wǎng)絡運行期間的一系列非法軟件或程序進行實時檢測，并將檢測狀態(tài)及分析結果實時報告，從而最大程度地降低網(wǎng)絡攻擊問題出現(xiàn)的概率。其主要工作原理是對獲取的一系列傳輸數(shù)據(jù)包進行全面細致的分析，以判定是否存在入侵行為。此種入侵檢測技術能夠同時對多個網(wǎng)絡安全節(jié)點進行監(jiān)督與檢測，且安裝方便，能夠獲得良好的檢測效果。一旦存在異常情況，入侵檢測系統(tǒng)能夠及時發(fā)出警報；若是存在嚴重安全威脅，此種技術還能夠直接斷開網(wǎng)絡連接，從而有效阻止繼續(xù)入侵。由于此種入侵檢測技術能夠對網(wǎng)絡進行實時監(jiān)控，因此能夠關注更多細節(jié)，實現(xiàn)檢測、監(jiān)控的持續(xù)細化，呈現(xiàn)出防御能力強及網(wǎng)絡影響小的特點。然而，此項技術同樣存在一定弊端：由于此種入侵檢測技術對網(wǎng)絡存在較大依賴性，所以一旦網(wǎng)絡狀況不佳，在開展數(shù)據(jù)包分析活動時，容易出現(xiàn)數(shù)據(jù)丟包現(xiàn)象，這會提高檢測誤差率，進而對入侵判斷的精確性產(chǎn)生不利影響，從而限制入侵檢測技術價值和作用的發(fā)揮[2]。

2.3 混合式入侵檢測技術

對于混合式入侵檢測技術而言，它是為了解決上述技術存在的不足而誕生的。這種入侵檢測技術融合了基于主機和基于網(wǎng)絡入侵檢測技術的所有優(yōu)點，既能夠開展計算機系統(tǒng)日志分析活動，也能夠對網(wǎng)絡數(shù)據(jù)包進行分析工作，還可以將兩種數(shù)據(jù)進行融合分析，從而構建出一套相對更為嚴謹、細致且高效的入侵檢測系統(tǒng)[3]。

3 入侵檢測技術在計算機網(wǎng)絡安全維護中的應用實踐研究

3.1 入侵特征提取

對于入侵特征提取而言，它指的是從多種不同的數(shù)據(jù)來源中有效地挖掘出與網(wǎng)絡攻擊行為相關的各種信息，再對這些信息進行預處理，最終整合并歸納到一個統(tǒng)一的數(shù)據(jù)庫內，用于開展攻擊行為分析。然而，由于基于網(wǎng)絡的入侵檢測技術的數(shù)據(jù)源和數(shù)據(jù)結構具有較強的異構性，加之計算機網(wǎng)絡系統(tǒng)中存在大量的無意義數(shù)據(jù)信息，這可能導致入侵檢測系統(tǒng)無法充分利用這些數(shù)據(jù)信息，進而影響最終檢測結果的準確性。因此，在進行入侵特征提取時，必須對一系列原始數(shù)據(jù)進行歸納和統(tǒng)一的預處理，以確保它們能夠滿足檢測系統(tǒng)的要求，從而進一步提高檢測工作的成效。

目前來看，數(shù)據(jù)預處理至少應包含以下功能：

1） 數(shù)據(jù)整合。在當前的入侵檢測技術中，數(shù)據(jù)整合主要是指將多個檢測器有效獲取的結果及相應的額外信息進行充分合并，這其中包括數(shù)據(jù)沖突等處理。由于入侵檢測活動需要使用多個不同的檢測器，因此需要為這些檢測器提供一個統(tǒng)一的資料接口，以確保不同檢測器獲取的分析結果和額外的判別信息能夠得到充分整合。此外，由于同一檢測機可以同時處理多個不同系統(tǒng)中的數(shù)據(jù)，這可能會導致名稱、結構和計量單位等多種內容的沖突，因此還必須進行資料格式的轉換工作，即統(tǒng)一原始資料中存在的各種沖突，包括名稱差異、單位差異和字長度差異等。

2） 數(shù)據(jù)清除。這種功能要求入侵檢測系統(tǒng)能夠自動清除原始數(shù)據(jù)集中存在的噪聲或不相關數(shù)據(jù)，以減少無用數(shù)據(jù)量，留下更多可靠有用的原始數(shù)據(jù)，從而進一步提高數(shù)據(jù)整合和歸納的效率，也可以提升入侵特征提取的準確性和有效性，為高效開展入侵行為分析奠定堅實基礎[4]。

另外為了保證入侵檢測的有效性，還需要測算出一系列可識別行為方面的實際入侵單元值，其計算公式如下：

式中：G 代表可識別行為方面的入侵單元值；m 代表入侵范圍；n 代表堆疊入侵區(qū)域；u 代表定向識別距離；γ代表入侵檢測偏差；i代表可識別次數(shù)。

3.2 入侵行為分析

在實際開展入侵檢測活動時，無論最終選擇哪一種入侵檢測技術，都必須進行模式匹配。借助模式匹配，可以對所有非正常進入計算機網(wǎng)絡系統(tǒng)的數(shù)據(jù)信息進行簡要統(tǒng)計和分析，從而高效地發(fā)現(xiàn)違反安全要求的問題，并及時將數(shù)據(jù)信息共享給中央控制中心以完成告警工作，進而實現(xiàn)智能化、自動化的入侵檢測效果，這可以顯著提升計算機網(wǎng)絡安全維護的有效性和可靠性。在具體操作中，通過模式匹配器，能夠將提取的一系列入侵特征與常規(guī)模式或異常模式進行充分的比較，以此對提取的入侵行為進行全面細致的分析，從而判斷這些入侵行為是否真正屬于入侵行為，并據(jù)此做出針對性的處理。這種技術操作的優(yōu)點在于，它僅需要收集大量的相關數(shù)據(jù)資料即可開展入侵行為判定，具有較高的檢測精度和檢測效率。然而，這種方法也存在一個較大的弊端，即相關管理人員需要持續(xù)不斷地對模式匹配器所需的常規(guī)模式和異常模式數(shù)據(jù)進行更新，才能應對層出不窮的入侵行為進行檢測和判定。這也導致一些未曾被發(fā)現(xiàn)的入侵行為，如某種病毒或黑客攻擊行為從未出現(xiàn)過，那么相應的模式數(shù)據(jù)就無法得到有效更新，當實際遇到此類入侵時，系統(tǒng)便很難將其檢測出來。

在實際開展入侵行為分析活動時，Snort是一種比較典型的模式匹配軟件。其運行時的主要流程為：首先進行初始化，然后在此基礎上對指令進行分析，實現(xiàn)系統(tǒng)規(guī)則的充分讀取，這樣軟件便可以自動構建二維鏈表，并據(jù)此完成一系列入侵活動的檢測，同時再次執(zhí)行周期性檢測任務。在實際運用中，該軟件能夠充分利用libpcap接口，在網(wǎng)絡中高效地捕獲數(shù)據(jù)包，并立即對該數(shù)據(jù)包進行分析。這一過程相對復雜，涉及數(shù)據(jù)鏈路層和網(wǎng)絡層等多個層面的處理。分析完成后，得到的結果可以直接存儲在Packet結構中，為后續(xù)的一系列分析工作提供數(shù)據(jù)支持。在切實完成分組解析作業(yè)后，如果提前在指令中已經(jīng)構建了“依規(guī)則庫完成分組分析”的指令，那么系統(tǒng)便可以自動開展檢測活動，將Packet結構中當前已經(jīng)有效存儲的多個分組數(shù)據(jù)信息快速地與對應的二維鏈表進行高效地逐個比較[5]。

3.3 入侵防護

在完成入侵行為分析及描述之后，入侵檢測系統(tǒng)能夠生成對應的入侵樹，并據(jù)此開展防御或響應活動。具體包括以下幾個方面：

1） 對于系統(tǒng)而言，其可以自動化地執(zhí)行相關響應。具體操作方法是在不干擾系統(tǒng)正常運轉的前提下，自動化地構建防火墻等防御措施，以實施入侵防范或規(guī)避。若這種自動化構建活動未能實現(xiàn)，則可轉至人工免疫操作流程，通過人工操作完成構建后，即可順利開展一系列相關測試活動。若系統(tǒng)自動化構建防火墻成功，則無需再進行人工操作，能夠直接實施自動化免疫。但需要注意的是，如果相關測試活動未能成功，仍必須實施人工免疫[6]。

2） 在實際開展入侵防護活動期間，人工免疫是一個重點內容。其本質是指由相關工作人員通過人工操作的方式，針對系統(tǒng)當前已發(fā)現(xiàn)但無法自行處理的入侵行為進行分析，然后采取合理適宜的措施對該系統(tǒng)進行科學配置，以達到規(guī)避相同或相似入侵的效果。而在具體實施免疫期間，保護系統(tǒng)可長時間處于激活狀態(tài)，這樣便能夠高效地完成對類似入侵的快速檢測，并自動化地啟用一系列應急措施，如直接斷網(wǎng)等，從而達到有效保護網(wǎng)絡系統(tǒng)安全的目的。需要注意的是，在完成免疫活動后，相關工作人員仍需落實好部分管理活動，如及時修改一系列密碼，或進一步完善防火墻的安裝等。

3） 在上述各項活動切實完成后，還應該將構建出的入侵樹進行刪除處理，這樣才能夠確保系統(tǒng)迅速恢復，實現(xiàn)穩(wěn)定正常運轉。

4 結束語

在網(wǎng)絡信息技術快速發(fā)展的背景下，計算機網(wǎng)絡安全問題也開始受到人們的廣泛關注和重視。入侵檢測技術能夠高效地對一系列入侵行為進行檢測、預警和處理，從而提高計算機網(wǎng)絡的安全性，避免由于病毒或黑客攻擊等引發(fā)重大損失。因此，無論是企業(yè)還是個人，都需要做好計算機網(wǎng)絡安全維護活動中入侵檢測技術運用方面的研究工作，以此進一步提高入侵檢測技術的運用水平，從而更好地維護計算機網(wǎng)絡安全，確保計算機網(wǎng)絡系統(tǒng)能夠充分發(fā)揮出應有的效用。

參考文獻：

[1] 要麗娟，石峰.數(shù)據(jù)挖掘技術在計算機網(wǎng)絡入侵檢測中的應用[J].集成電路應用，2023，40（7）：222-223.

[2] 徐夢萍.探究入侵檢測技術在計算機網(wǎng)絡安全中的應用[J].電腦知識與技術，2022，18（36）：75-77.

[3] 潘力.入侵檢測技術在計算機網(wǎng)絡安全維護中的運用分析[J].信息記錄材料，2023，24（4）：125-127.

[4] 王文江，柏赫，劉鑫，等.計算機網(wǎng)絡安全入侵檢測技術研究[J].中國新通信，2023，25（4）：102-104.

[5] 王業(yè).入侵檢測技術在計算機網(wǎng)絡安全中的應用分析[J].無線互聯(lián)科技，2022，19（14）：99-101.

[6] 曲亮.計算機網(wǎng)絡安全的入侵檢測技術分析[J].集成電路應用，2022，39（1）：132-133.

【通聯(lián)編輯：代影】