符小明

摘 要：隨著互聯(lián)網(wǎng)信息技術(shù)的高速發(fā)展，入侵檢測技術(shù)也隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展而日新月異，互聯(lián)網(wǎng)遭受的入侵風(fēng)險日漸凸顯，維護網(wǎng)絡(luò)信息安全也成為社會穩(wěn)定和國家安全的一個重點、難點問題，這個問題亟待解決。以往的防范策略對安全高度敏感的部門工作需要已經(jīng)顯得力不從心。計算機信息網(wǎng)絡(luò)入侵檢測技術(shù)可以作為網(wǎng)絡(luò)的傳統(tǒng)防御的有效補充，在網(wǎng)絡(luò)安全中起到舉足輕重的作用。

關(guān)鍵詞：入侵檢測；異常檢測；閾值；技術(shù)分類

隨著互聯(lián)網(wǎng)的高速發(fā)展，為了資源共享及迅速獲取前沿信

息。各級政府機構(gòu)、各類單位及個人都加入Internet中，全球信息共享的雛形已經(jīng)初步形成。網(wǎng)絡(luò)的高速發(fā)展，互聯(lián)網(wǎng)中黑客的攻擊活動也以每年10倍的速度激增。所以，在網(wǎng)絡(luò)信息技術(shù)高度發(fā)展的今天，如何有效地保證計算機系統(tǒng)、信息網(wǎng)絡(luò)系統(tǒng)以及信息基礎(chǔ)設(shè)施的安全已成為我們現(xiàn)階段研究的重點工作。

一、網(wǎng)絡(luò)防火墻

防范計算機網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建網(wǎng)絡(luò)防火墻。

防火墻指的是一個由軟件系統(tǒng)和硬件設(shè)備有效組合而成，在專用網(wǎng)與公共網(wǎng)之間、內(nèi)外網(wǎng)之間的界面構(gòu)建的一道安全防御“門”，是一種保證網(wǎng)絡(luò)安全的有效措施。防火墻由計算機硬件和軟件系統(tǒng)結(jié)合使用，這樣防火墻就可以在Internet與Intranet之間構(gòu)建安全“門”，進而達到非法用戶不能侵入內(nèi)部網(wǎng)的目的，并通過限制、監(jiān)視、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，盡可能防范對內(nèi)網(wǎng)的非法訪問與入侵。

二、網(wǎng)絡(luò)防火墻的局限性

1.防火墻對不經(jīng)過防火墻的攻擊無計可施

如果用戶允許從受保護的內(nèi)部網(wǎng)絡(luò)向外撥號連接，這樣就給一些非法用戶甚至是黑客制造了與Internet的直接連接的機會和條件。另外，防火墻對于網(wǎng)絡(luò)內(nèi)部的攻擊或是病毒威脅也顯得力不從心。

2.任何防火墻都可能在不經(jīng)意間留下“敞開的后門”

由于防火墻的局限性，一般不能提供實時有效的入侵檢測防御。所以，單純在網(wǎng)絡(luò)入口處部署防火墻是不能在源頭上確保網(wǎng)絡(luò)信息安全的。在信息技術(shù)高度發(fā)達的今天，對網(wǎng)絡(luò)安全要求極高的敏感企業(yè)或單位，防火墻已經(jīng)顯得十分蒼白無力，計算機信息網(wǎng)絡(luò)的防衛(wèi)技術(shù)必須采用一種縱深的、多樣化的手段。

由于防火墻存在著某些方面的致命缺陷，入侵檢測在這時候就顯得十分重要，入侵檢測作為防火墻后面的一道安全“門”，是防火墻的有效補充，入侵檢測技術(shù)的使用，有效地提高了網(wǎng)絡(luò)的安全性能。隨著網(wǎng)絡(luò)的高度發(fā)展，入侵檢測技術(shù)越來越凸顯出重要性?，F(xiàn)階段，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向，并在不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮著重要作用。

三、入侵檢測

入侵檢測是對互聯(lián)網(wǎng)數(shù)據(jù)傳輸進行實時檢測與監(jiān)視，發(fā)現(xiàn)可疑或異常傳輸時發(fā)出警報及警告，并立即采取主動防御，避免非法數(shù)據(jù)的傳輸或無授權(quán)訪問。入侵檢測技術(shù)區(qū)別于其他的網(wǎng)絡(luò)設(shè)備的主要表現(xiàn)是：入侵檢測是一種積極被動的安全防護技術(shù)。入侵檢測有三種類型：基于網(wǎng)絡(luò)型、基于主機型、基于代理型等。

從20世紀90年代至今，各網(wǎng)絡(luò)公司陸續(xù)開發(fā)出一些入侵檢測的網(wǎng)絡(luò)產(chǎn)品，這其中比較有代表性的是ISS公司的Realsecure，NAI公司的Cybercop和Cisco公司的NetRanger。

四、入侵檢測技術(shù)分類

入侵檢測技術(shù)系統(tǒng)分為兩種：特征檢測與異常檢測。

1.特征檢測

特征檢測：將入侵者活動特征當(dāng)做一種特定模式來表示，入

侵檢測系統(tǒng)會自動檢測該活動是否符合這個特定的模式。假如符合這個特定模式，系統(tǒng)將自動啟動入侵檢測系統(tǒng)進行有效攔截處理，由此來防止非法訪問。但是，這類技術(shù)也有其致命的弱點，它只對特定模式的入侵起到作用，對于新的入侵卻是無能為力。入侵檢測的關(guān)鍵在于如何設(shè)計特定模式防御“入侵”活動，這類活動又不會將正常的通訊活動包含進來。

2.異常檢測

異常檢測在基于行為基礎(chǔ)上的檢測。異常檢測其中一個重要的基本前提是：將通訊過程中所有的入侵行為都當(dāng)做異常處理。并由此建立系統(tǒng)或是用戶的“正?！毙袨樘卣鬏喞瑢⑿畔⑼ㄓ嵵g的主體活動情況與“活動簡檔”作為比較，當(dāng)主體活動違反統(tǒng)計規(guī)律時，入侵檢測系統(tǒng)認定該活動可能是“入侵”行為。通過比較當(dāng)前系統(tǒng)或用戶的具體行為是否不在正常的行為特征輪廓內(nèi)來判斷是否發(fā)生入侵行為，此方法不依賴于是否表現(xiàn)出具體行為來進行檢測。

五、入侵檢測閾值

一個領(lǐng)域或一個系統(tǒng)的界限稱為閾，其數(shù)值稱為閾值，異常檢測是以正常的網(wǎng)絡(luò)特征輪廓作為比較的參考閾值來進行異常檢測，所以，如何選定閾值是十分關(guān)鍵的。如果閾值設(shè)定較大，漏警率就會提高；閾值設(shè)定較小，虛警率就會上升。適中的閾值選擇是決定檢測方法準確率的關(guān)鍵因素。

參考文獻：

樂瑞卿.計算機數(shù)據(jù)庫入侵檢測技術(shù)的探討[J].硅谷，2011（22）.

（作者單位 海南職業(yè)技術(shù)學(xué)院）

編輯 王振德