倪 立

南陽(yáng)醫(yī)學(xué)高等專(zhuān)科學(xué)校，河南南陽(yáng) 473000

隨著計(jì)算機(jī)和網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，計(jì)算機(jī)通信網(wǎng)絡(luò)發(fā)揮了明顯的社會(huì)公共基礎(chǔ)設(shè)施功能，為人類(lèi)社會(huì)生活的各個(gè)方面提供高效便利的服務(wù)。各種網(wǎng)絡(luò)安全社會(huì)問(wèn)題與網(wǎng)絡(luò)犯罪現(xiàn)象日益嚴(yán)重，網(wǎng)絡(luò)安全技術(shù)隨之也得到了不斷發(fā)展。傳統(tǒng)的靜態(tài)防御技術(shù)，如系統(tǒng)加固技術(shù)、防火墻隔離技術(shù)、加密技術(shù)等，技術(shù)本身存在有防御被動(dòng)、負(fù)載量大、效率低下、靈活性不強(qiáng)等缺點(diǎn)，已難以較好地保證網(wǎng)路信息的安全。

主動(dòng)防御技術(shù)日趨成為人們研究的重點(diǎn)，入侵檢測(cè)須能夠積極主動(dòng)的實(shí)施網(wǎng)絡(luò)動(dòng)態(tài)安全防御，補(bǔ)充協(xié)助系統(tǒng)防御網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)資源占用較少，適時(shí)實(shí)現(xiàn)智能化信息采集與分析、檢測(cè)未經(jīng)授權(quán)對(duì)象入侵、系統(tǒng)資源非法占用等，提高了檢測(cè)效率，減少了錯(cuò)報(bào)漏報(bào)，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)免受外部攻擊、內(nèi)部攻擊、錯(cuò)誤操作的侵害，提高了網(wǎng)絡(luò)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

1 常用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分析

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（Network Intrusion Detection System 簡(jiǎn)稱(chēng)NIDS），主要用于動(dòng)態(tài)檢測(cè)防御網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)，在線(xiàn)采集并分析數(shù)據(jù)報(bào)文，及時(shí)發(fā)現(xiàn)和主動(dòng)干預(yù)系統(tǒng)網(wǎng)絡(luò)的異常入侵行為。

入侵檢測(cè)系統(tǒng)（NIDS）的功能有：收集數(shù)據(jù)、事件響應(yīng)、事件分析、數(shù)據(jù)存儲(chǔ)、功能測(cè)評(píng)?？删邆渚W(wǎng)絡(luò)引擎、數(shù)據(jù)庫(kù)、用戶(hù)賬戶(hù)的管理功能。

入侵檢測(cè)系統(tǒng)（NIDS）檢測(cè)的常見(jiàn)攻擊類(lèi)型有：后門(mén)類(lèi)、HTTP 類(lèi)、DNS 類(lèi)、FTP 類(lèi)、ICMP 類(lèi)、Mail 類(lèi)、Finger 類(lèi)、DoS 類(lèi)、RPC 類(lèi)等。

入侵檢測(cè)系統(tǒng)（NIDS）的主要模塊方式：網(wǎng)絡(luò)入侵檢測(cè)模塊和主機(jī)入侵檢模塊進(jìn)行互補(bǔ)式信息獲取。網(wǎng)絡(luò)入侵檢測(cè)模塊。在網(wǎng)絡(luò)中安裝放置網(wǎng)絡(luò)入侵檢測(cè)模塊，檢測(cè)保護(hù)該網(wǎng)段的數(shù)據(jù)報(bào)文；主機(jī)入侵檢模塊。專(zhuān)門(mén)收集安裝該模塊機(jī)器的信息，對(duì)本機(jī)實(shí)施保護(hù)。

入侵檢測(cè)系統(tǒng)（NIDS）的原理：采集分析網(wǎng)絡(luò)系統(tǒng)活動(dòng)信息——系統(tǒng)結(jié)構(gòu)審計(jì)——辨別、響應(yīng)、報(bào)告異?；顒?dòng)模式——統(tǒng)計(jì)分析異常活動(dòng)模式——評(píng)估數(shù)據(jù)文件、重要系統(tǒng)的完整性——審計(jì)、跟蹤、管理操作系統(tǒng)。

入侵檢測(cè)系統(tǒng)（NIDS）的信息來(lái)源：網(wǎng)絡(luò)信息和系統(tǒng)日志、系統(tǒng)文件異常信息、系統(tǒng)程序異常信息、入侵信息。

入侵檢測(cè)系統(tǒng)（NIDS）的規(guī)則分類(lèi)：特征檢測(cè)技術(shù)規(guī)則和統(tǒng)計(jì)檢測(cè)技術(shù)規(guī)則的適用范圍不同。特征檢測(cè)技術(shù)規(guī)則使用特征碼進(jìn)行標(biāo)識(shí)，通過(guò)數(shù)據(jù)和特征碼的比較來(lái)辨別發(fā)現(xiàn)入侵行為；統(tǒng)計(jì)檢測(cè)技術(shù)規(guī)則使用統(tǒng)計(jì)規(guī)律為分析策略，檢測(cè)行為，統(tǒng)計(jì)數(shù)量，辨別發(fā)現(xiàn)入侵行為和錯(cuò)誤操作。

深靜脈血栓的預(yù)防分為藥物預(yù)防和非藥物預(yù)防。藥物預(yù)防，包括肝素、低分子肝素、華法令等藥物使用，根據(jù)不同患者選擇合適藥物應(yīng)用。研究顯示，依諾肝素應(yīng)用使腹部大手術(shù)圍手術(shù)期血栓發(fā)生率更低[18] ，他汀類(lèi)藥物可以有效預(yù)防血栓發(fā)生[19] 。但藥物使用存在出血風(fēng)險(xiǎn)，有出血風(fēng)險(xiǎn)和出血傾向患者則不能使用，尤其是部分危重病患者使用抗凝藥物存在禁忌癥。非藥物預(yù)防，包括早期活動(dòng)[20] 、增加被動(dòng)運(yùn)動(dòng)、壓力梯度長(zhǎng)襪、氣壓泵應(yīng)用[21] 等，為避免出血風(fēng)險(xiǎn)發(fā)生或存在藥物應(yīng)用禁忌癥，可選擇使用非藥物預(yù)防方法，聯(lián)合使用多種非藥物預(yù)防方法，亦可達(dá)到很好預(yù)防效果。

常用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)分析：

統(tǒng)計(jì)方法檢測(cè)。優(yōu)點(diǎn)是比較成熟，應(yīng)用廣泛；缺點(diǎn)是不適合單獨(dú)使用，分析策略容易被適應(yīng)。

專(zhuān)家系統(tǒng)檢測(cè)。優(yōu)點(diǎn)是有較高的智能，檢測(cè)效率較高，對(duì)特定攻擊行為效果較強(qiáng)；缺點(diǎn)是檢測(cè)不全面。

數(shù)據(jù)挖掘檢測(cè)。優(yōu)點(diǎn)是數(shù)據(jù)處理和檢測(cè)預(yù)警能力強(qiáng)；缺點(diǎn)是技術(shù)實(shí)現(xiàn)難度大。

免疫學(xué)原理檢測(cè)。優(yōu)點(diǎn)是識(shí)別準(zhǔn)確，效率較高；缺點(diǎn)是數(shù)據(jù)負(fù)載量大，系統(tǒng)模型實(shí)現(xiàn)困難。

模型推理檢測(cè)：需要事先定義攻擊模式與特征參數(shù)，實(shí)現(xiàn)及更新檢測(cè)模型有較大的困難。

向量機(jī)檢測(cè)：用條件布爾表達(dá)式模擬對(duì)象行為過(guò)程，難以檢測(cè)形式較為復(fù)雜的攻擊模式。

2 構(gòu)建新型網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

網(wǎng)絡(luò)入侵技術(shù)和網(wǎng)絡(luò)入侵檢測(cè)技術(shù)同時(shí)發(fā)展、同時(shí)更新。高速網(wǎng)絡(luò)交換技術(shù)、加密數(shù)據(jù)通信技術(shù)、大通信量數(shù)據(jù)分析技術(shù)也對(duì)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)提出了新的更高要求。各種常用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)都有其優(yōu)缺點(diǎn)或存在有設(shè)計(jì)的缺陷，單一型網(wǎng)絡(luò)入侵檢測(cè)技術(shù)難以滿(mǎn)足主動(dòng)防御的需要，在實(shí)際應(yīng)用中，網(wǎng)絡(luò)結(jié)構(gòu)各有不同，需要我們結(jié)合實(shí)際，綜合完善，擴(kuò)展開(kāi)發(fā)各種網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。

2.1 主要結(jié)構(gòu)

1）數(shù)據(jù)采集層。使用數(shù)據(jù)采集器進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)報(bào)文采集，采集后向分析層輸出。

2）分析層。使用數(shù)據(jù)分析引擎收處理數(shù)據(jù)報(bào)文，辨識(shí)發(fā)現(xiàn)異常行為和攻擊入侵，將異常事件上報(bào)至管理層，響應(yīng)處理異常事件。

3）管理層。優(yōu)管理機(jī)制、對(duì)抗機(jī)制和存儲(chǔ)機(jī)制構(gòu)成，處理響應(yīng)入侵檢測(cè)結(jié)果，最終將相關(guān)安全事件進(jìn)行存儲(chǔ)。

分析傳統(tǒng)型網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的主要組成結(jié)構(gòu)和處理模型，在三個(gè)層次部分中，整個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的核心是數(shù)據(jù)分析引擎，負(fù)責(zé)數(shù)據(jù)的接收、分析、辨識(shí)、上報(bào)、響應(yīng)、處理等多項(xiàng)內(nèi)容。由于網(wǎng)絡(luò)的不斷提速，傳統(tǒng)檢測(cè)技術(shù)的簡(jiǎn)單層次式處理模型設(shè)計(jì)難以勝任，待處理數(shù)據(jù)報(bào)文的負(fù)載量大，嚴(yán)重堆積，入侵檢測(cè)的效果較差。

2.2 新型體系構(gòu)建

構(gòu)建新型的網(wǎng)絡(luò)入侵檢測(cè)體系，可從以下幾方面入手。

1）可擴(kuò)展多級(jí)并行處理結(jié)構(gòu)。擴(kuò)展檢測(cè)探針達(dá)到合適的規(guī)模，不斷提升檢測(cè)的性能和效果；將傳統(tǒng)型網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的層次式處理模型拓展為四層，在采集層與分析層間增加負(fù)載分配層，既，數(shù)據(jù)采集層、負(fù)載分配層、分析層和管理層，提升檢測(cè)系統(tǒng)的總體處理能力和檢測(cè)效果。

2）分布式入侵檢測(cè)。采取分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)相結(jié)合的方法，使入侵檢測(cè)不再局限于網(wǎng)絡(luò)架構(gòu)或單一主機(jī)，能較好地解決特定系統(tǒng)檢測(cè)、大規(guī)模網(wǎng)絡(luò)檢測(cè)和IDS 系統(tǒng)協(xié)同等問(wèn)題。

3）應(yīng)用層入侵檢測(cè)。拓展和開(kāi)發(fā)應(yīng)用層，應(yīng)對(duì)處理其他應(yīng)用系統(tǒng)，對(duì)客戶(hù)終端、服務(wù)器結(jié)構(gòu)、對(duì)象技術(shù)等進(jìn)行保護(hù)。

4）智能入侵檢測(cè)。研究提升檢測(cè)系統(tǒng)的自主學(xué)習(xí)和訓(xùn)練適應(yīng)能力，加強(qiáng)遺傳算法、神經(jīng)網(wǎng)絡(luò)模型、智能體系在入侵檢測(cè)技術(shù)領(lǐng)域的應(yīng)用和研究。

5）結(jié)合網(wǎng)絡(luò)安全技術(shù)。將入侵檢測(cè)技術(shù)與防毒軟件、防火墻技術(shù)、SET、PKIX 等新型網(wǎng)絡(luò)安全技術(shù)相結(jié)合，形成較為完整的網(wǎng)絡(luò)安全保障體系。

6）測(cè)評(píng)與評(píng)價(jià)方法。研究設(shè)計(jì)適用于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的測(cè)評(píng)方法和評(píng)價(jià)平臺(tái)，重點(diǎn)測(cè)評(píng)檢測(cè)技術(shù)的系統(tǒng)適用性、技術(shù)適用范圍、資源占用等方面。

[1]陳一驕.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)高速處理技術(shù)研究[J].國(guó)防科學(xué)技術(shù)大學(xué)學(xué)報(bào)，2007.

[2]姚文斌，王樅，劉建毅.高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)[J].全國(guó)容錯(cuò)計(jì)算學(xué)術(shù)會(huì)議，2009.

[3]張明，郭小燕.分布式入侵檢測(cè)系統(tǒng)在校園網(wǎng)安全中的應(yīng)用研究[J].自動(dòng)化與儀器儀表，2013.

[4]劉世江.分布式入侵檢測(cè)系統(tǒng)研究[J].山西電子技術(shù)，2014.