王永剛

摘要：該文闡述了計算機網(wǎng)絡(luò)安全入侵檢測的概念，介紹了計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)與入侵檢測系統(tǒng)的類型，并提出計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)存在的問題，在結(jié)合筆者多年工作經(jīng)驗，對計算機網(wǎng)絡(luò)安全檢測技術(shù)的發(fā)展提出幾點看法，以供參考。

關(guān)鍵詞：計算機技術(shù)；網(wǎng)絡(luò)安全；入侵檢測；概念；問題

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）19-0032-02

隨著社會經(jīng)濟與科學(xué)技術(shù)的不斷進步，計算機技術(shù)以及互聯(lián)網(wǎng)得到了越來越廣泛的應(yīng)用與發(fā)展，對于人們的生活有著十分重要的意義。然而計算機與網(wǎng)絡(luò)的普及也出現(xiàn)了一系列的問題，例如由于網(wǎng)絡(luò)入侵導(dǎo)致計算機系統(tǒng)系統(tǒng)的正常運行受到影響，降低了計算機的工作效率，同時一些涉及個人隱私的信息也受到威脅。因此，入侵檢測技術(shù)的應(yīng)用對于計算機網(wǎng)絡(luò)安全的防范就起到了十分重要的作用，然而由于我國計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)的起步較晚，在許多方面存在一定的不足，難以保障計算機的網(wǎng)絡(luò)安全，因此，加強計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)應(yīng)用與研究勢在必行。

1計算機網(wǎng)絡(luò)安全入侵檢測的概念

計算機在正常運行的過程中，當處于網(wǎng)絡(luò)環(huán)境時，那么就存在外界與內(nèi)部不安全因素，例如病毒、軟件的侵入而影響到計算機的運行速度，進而造成計算機的工作效率降低。而一旦計算機運行狀態(tài)出現(xiàn)異常，那么就可以運用入侵檢測技術(shù)來及時防御計算機內(nèi)部與外部的干擾因素，同時也使得計算機由于這些影響因素造成的干擾得以有效避免。當計算機受到意外攻擊時，計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)能夠與防火墻相配合，使得計算機得到更好的保護。鑒于此，可以說計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)就是以補充防火墻的不足而產(chǎn)生的。

2計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)的類型

2.1基于誤用檢測技術(shù)

誤用入侵檢測的主要功能是根據(jù)特征搜集影響計算機的干擾因素，并對其是否集中出現(xiàn)進行判斷并處理。誤用入侵檢測技術(shù)與殺毒軟件的操作方式相似，而該技術(shù)的優(yōu)勢在于其建立的入侵特點的模式庫，并根據(jù)此進行相似特點的搜集，如此一來檢測中不僅能夠搜集出有著相似特征的入侵行為，同時又使得系統(tǒng)的入侵與抑制系統(tǒng)免于遭受同樣的入侵。然而有的入侵行為具有一定的特殊性，其具有變種功能，即利用相同的功能缺陷與原理進行變異，因此就難以被檢測出來。誤用入侵技術(shù)在某些方面還是存在一定的缺陷的，例如其只能對已知序列和特點對有關(guān)入侵行為進行判斷，而難以及時檢測出一些新型的入侵攻擊行為，同時還有一些漏洞存在。

通?？梢詫⒄`用入侵檢測技術(shù)分為專家系統(tǒng)與狀態(tài)遷移分析技術(shù)等兩種。其中專家系統(tǒng)在早期的入侵檢測系統(tǒng)中比較常用，主要是采用專家的入侵行為檢測系統(tǒng)。比如早期的NIDES、NADIR，這些都是具有獨立的專家系統(tǒng)模塊。一旦發(fā)現(xiàn)專家系統(tǒng)中的入侵行為，整個系統(tǒng)就會對其進行編碼，將其編譯為一個IF語句。其次是狀態(tài)遷移分析技術(shù)，建立在異常檢測技術(shù)的基礎(chǔ)之上，對一組系統(tǒng)的“正?！鼻闆r下的值進行定義，包括CPU利用率、內(nèi)存利用率以及文件校驗等等，然后與正常定義作對比。在該檢測方法中，對“正?！鼻闆r的定義是最為關(guān)鍵的部分。

2.2基于異常的檢測技術(shù)

基于異常入侵的檢測技術(shù)需要對一組正常情況下內(nèi)存利用率、硬盤大小、文件檢驗等值進行定義。這些數(shù)據(jù)是具有靈活性的，人們可以方便自己統(tǒng)計而進行自主定義，接著比較規(guī)定數(shù)值與系統(tǒng)正在運行中的數(shù)值，進而對被攻擊與否進行檢驗與判斷。該檢測方法是以對正常數(shù)值的定義為核心而進行的，如此才能夠判斷系統(tǒng)是否遭受到了攻擊。該檢測技術(shù)早在1996年就有了一定的研究，有人以建立系統(tǒng)的審計跟蹤數(shù)據(jù)分析系統(tǒng)，主體正常行為的特征為大致方向，建立起一個大概的輪廓模型。在進行檢測的過程中，在審計系統(tǒng)中，被認為是入侵行為的依據(jù)就是系統(tǒng)中的出現(xiàn)較大差異的數(shù)據(jù)。根據(jù)功能配置文件、登錄的時間與位置、CPU使用時間以及文件訪問屬性等對特點進行描述。其對應(yīng)的功能配置文件會隨著主要行為特征的改變而改變。例如入侵檢測系統(tǒng)基于統(tǒng)計的使用或規(guī)則進行描述，對系統(tǒng)行為特征的基本輪廓進行建立。

3入侵檢測系統(tǒng)的類型

3.1基于主機的入侵檢測系統(tǒng)

基于主機的入侵檢測系統(tǒng)主要對主機進行重點檢測，通過在主機上設(shè)置入侵檢測，對其是否被攻擊進行判斷。主機入侵檢測系統(tǒng)能夠較為全面動態(tài)的監(jiān)控計算機網(wǎng)絡(luò)用戶的操作行為，一旦出現(xiàn)網(wǎng)絡(luò)異常情況就會進行預(yù)警，能夠安全有效的保護起網(wǎng)絡(luò)的安全?；谥鳈C的入侵檢測系統(tǒng)能對攻擊行為是否有效果加以判斷，以此提供給主機充分的決策依據(jù)，并且還能監(jiān)控例如文件訪問、文件執(zhí)行等指定的系統(tǒng)部位的活動。

3.2基于主機的入侵檢測系統(tǒng)

基于行為的入侵檢測系統(tǒng)主要指基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，其無法提供給客戶單獨的入侵檢測服務(wù)，然而該系統(tǒng)的具有較快的檢測速度以及低廉的檢測成本?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)在設(shè)置檢測的過程中能夠進行多個安全點的設(shè)置，并同時觀察多個系統(tǒng)的網(wǎng)絡(luò)通信，同時也省去了主機上的安裝，因此才被認為成本較低?；谥鳈C的入侵檢測無法安全有效的檢測數(shù)據(jù)包，因此在入侵檢測中時常出現(xiàn)漏洞，然而該檢測系統(tǒng)具有檢測對主機的漏洞攻擊的功能，一旦發(fā)現(xiàn)惡意程序或者軟件，就會進行及時的處理。在檢測過程中，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)能夠通過方便快捷的網(wǎng)絡(luò)通訊實現(xiàn)對系統(tǒng)的實時監(jiān)控，一旦發(fā)現(xiàn)問題，就會直接進行網(wǎng)絡(luò)報告，以防止攻擊者轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的入侵檢測技具有動態(tài)檢測計算機網(wǎng)絡(luò)系統(tǒng)的功能，一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在入侵行為就會做出快速反應(yīng)，不會受到時間與地點的限制，并進行預(yù)警，同時采取相應(yīng)的措施處理入侵行為。

4計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)存在的問題

4.1入侵檢測技術(shù)不完善

與一些發(fā)達國家相比，我國計算機網(wǎng)絡(luò)技術(shù)的起步較晚，在發(fā)展過程中難免遇到一些問題，計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)仍有待完善，有時面對相對復(fù)雜的計算機入侵行為是難以徹底有效的清除與解決威脅網(wǎng)絡(luò)安全的因素的。當計算機運行處于不安全的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全的入侵檢測技術(shù)也存在一定的缺陷，在某些方面的安全檢測存在局限性，能夠進行計算機網(wǎng)絡(luò)系統(tǒng)的局部檢測與分析，一旦計算機網(wǎng)絡(luò)系統(tǒng)處于不同的網(wǎng)段，其檢測的全面性與有效性是難以保證的，由此可見，計算機網(wǎng)絡(luò)安全的檢測技術(shù)仍然有待提高，其存在的局限性與不完整性是非常強的。

4.2入侵檢測技術(shù)過于單一

除了技術(shù)水平有待提升之外，計算機網(wǎng)絡(luò)安全的入侵技術(shù)還存在檢測方法具有單一性的問題?，F(xiàn)階段，特征檢測是計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)的主要手段，其檢測范圍有限，主要是針對比較簡單的網(wǎng)絡(luò)入侵行為進行有效的防御與處理，一旦出現(xiàn)的網(wǎng)絡(luò)安全入侵行為比較復(fù)雜，那么這一檢測技術(shù)的局限性就體現(xiàn)出來了，一般難以實現(xiàn)有效的防御與解決，并且工作量較大，需要耗費大量的時間與精力進行計算，否則是無法檢測出計算機存在的問題的，此外由計算產(chǎn)生的龐大數(shù)據(jù)也使得計算機網(wǎng)絡(luò)安全檢測技術(shù)的效率大幅度降低，因此，難以為計算機網(wǎng)絡(luò)環(huán)境的安全性與可靠性提供充分的保障。

4.3入侵檢測技術(shù)加密處理有待提升

在人們?nèi)粘９ぷ髋c生活中，計算機得到了十分廣泛的應(yīng)用，因此計算機內(nèi)儲的網(wǎng)絡(luò)數(shù)據(jù)可能涉及了部分隱私，在計算機網(wǎng)絡(luò)安全環(huán)境遭到攻擊時，計算機網(wǎng)絡(luò)數(shù)據(jù)的安全性與隱私性是難以通過檢測技術(shù)而得到保護的，可見檢測技術(shù)加密處理有待提升。計算機網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)本身就難以全面的對計算機系統(tǒng)進行檢測，需要與計算機內(nèi)部防火墻相配合，才能實現(xiàn)有效的入侵檢測，如此一來計算機內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)可能就會暴露，無法實現(xiàn)對其科學(xué)有效的加密處理，使得用戶的個人隱私受到了一定程度的威脅。

5計算機網(wǎng)絡(luò)安全檢測技術(shù)的發(fā)展趨勢

在網(wǎng)絡(luò)安全防護中，計算機網(wǎng)絡(luò)的入侵檢測技術(shù)發(fā)揮著非常重要的作用，同時不同的安全檢測手段的應(yīng)用也有著十分重要的意義，然而現(xiàn)階段這些檢測技術(shù)仍然存在不同程度缺陷。隨著科學(xué)技術(shù)的不斷進步，在社會的各個領(lǐng)域中計算機網(wǎng)絡(luò)技術(shù)必然得到越來越廣泛的應(yīng)用與發(fā)展，入侵技術(shù)也會得到進一步的完善與更新，網(wǎng)絡(luò)環(huán)境也更容易遭到攻擊。為此，計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)必須提高自身的檢測水平，建立在一般檢測技術(shù)的基礎(chǔ)之上，進行更進一步的發(fā)展與研究，并且還要以此為重點，對有關(guān)計算機網(wǎng)絡(luò)數(shù)據(jù)分析方面的技術(shù)研究進行強化。

為了實現(xiàn)這一目標，首先要對分布式入侵的檢測技術(shù)的研究與發(fā)展予以大力支持，一方面要實現(xiàn)對計算機分布式網(wǎng)絡(luò)攻擊的有效檢測，使計算機存在的問題得以全面有效的發(fā)現(xiàn)與解決，避免出現(xiàn)檢測漏統(tǒng)；另一方面，還要實現(xiàn)計算機網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的分布式檢測方法的應(yīng)用，使計算機網(wǎng)絡(luò)環(huán)境存在的問題得到及時發(fā)現(xiàn)，并對其進行協(xié)同處理與解決，使網(wǎng)絡(luò)安全檢測系統(tǒng)的資源優(yōu)勢得到最大限度的發(fā)揮，進而為計算機網(wǎng)絡(luò)安全檢測技術(shù)水平與檢測效率提升提供強有力的支撐。

其次，還要注重智能化網(wǎng)絡(luò)安全檢測技術(shù)的發(fā)展，使入侵檢測技術(shù)更加靈活準確，其中模糊處理、遺產(chǎn)算法、神經(jīng)網(wǎng)絡(luò)、免疫原理等是其主要檢測方式，如此才能夠?qū)崿F(xiàn)對外界入侵軟件或程序的準確識別與分析，進而使網(wǎng)絡(luò)安全入侵檢測技術(shù)的水平得以有效提高，并將智能化檢測技術(shù)融入到計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)當中，為計算機網(wǎng)絡(luò)環(huán)境的可靠性與安全性提供充分的保障。

再者，全面化發(fā)展也是計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)的重要發(fā)展方向，應(yīng)進行建立網(wǎng)絡(luò)安全入侵全面檢測系統(tǒng)的嘗試，并設(shè)定更加科學(xué)統(tǒng)一的評估標準，加強網(wǎng)絡(luò)安全檢測平臺建設(shè)，確保其更加科學(xué)、準確。如此越來，計算機的檢測范圍才能夠得以擴大，計算機資源也得到充分的利用，同時檢測系統(tǒng)的可靠性也得到增強，進而使得計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)的整體水平得以有效提高。

6結(jié)束語

綜上所述，目前在我國計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)的應(yīng)用與研究方面仍然存在一定的不足，難以對計算機網(wǎng)絡(luò)系統(tǒng)起到有效的保護。為此，我們必須針對其中存在的問題展開深入的研究，提出相應(yīng)的技術(shù)措施以實現(xiàn)檢測技術(shù)的完善，提高檢測水平，為計算機網(wǎng)絡(luò)系統(tǒng)的正常運行提供強有力的保障。