馬小雨

摘要：隨著信息技術(shù)的突飛猛進(jìn)，因此計算機(jī)也成為大眾用品，逐漸走入人們的日常生活當(dāng)中。網(wǎng)絡(luò)技術(shù)在給人們帶來方便的時候，它的安全問題也逐漸成為了人們的關(guān)注焦點，怎樣最大限度地確保計算機(jī)網(wǎng)絡(luò)安全，日益成為人們研究難點和研究重點問題。眾多的提高網(wǎng)絡(luò)安全的防范技術(shù)也應(yīng)運(yùn)而生，而入侵檢測技術(shù)就是這眾多檢測技術(shù)中特別重要的一種。該篇文章就入侵檢測技術(shù)的定義以及其在計算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行了深入分析與探討。

關(guān)鍵詞：入侵檢測技術(shù)；計算機(jī)網(wǎng)絡(luò)安全；應(yīng)用

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）33-0043-02

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)也被應(yīng)用于各個行業(yè)當(dāng)中，為我國的經(jīng)濟(jì)建設(shè)提供了重要的技術(shù)支持。在我國大量企業(yè)的發(fā)展與運(yùn)營過程中，完成優(yōu)質(zhì)化的網(wǎng)絡(luò)安全管理與維護(hù)工作，具有十分明顯的現(xiàn)實意義，其能夠使我國計算機(jī)服務(wù)行業(yè)網(wǎng)絡(luò)的管理質(zhì)量得到極大提升，使我國人力資源優(yōu)勢得到充分的發(fā)揮，也使我國信息化技術(shù)整體發(fā)展得到極大的促進(jìn)。

1 網(wǎng)絡(luò)的入侵形式

網(wǎng)絡(luò)入侵就是指具有純熟調(diào)試和編寫計算機(jī)程序的技能，并且通過利用這些技能來獲取未授權(quán)或非法文件或網(wǎng)絡(luò)訪問，入侵到內(nèi)部網(wǎng)絡(luò)的行為。當(dāng)前，主要包括以下幾種網(wǎng)絡(luò)入侵的形式：

1）病毒入侵

病毒是一種被用來破壞特定系統(tǒng)資源目標(biāo)，能夠破壞完整數(shù)據(jù)或者是拒絕執(zhí)行，能夠自我進(jìn)行復(fù)制的一種程序[1]。能夠進(jìn)行繁殖、隱匿、傳播、潛伏、寄生。當(dāng)下，E-mail、WWW、BBS等瀏覽器是病毒最先攻擊的。

2）身份入侵

網(wǎng)絡(luò)服務(wù)一般來說需要對使用者特征進(jìn)行確認(rèn)，從而給予用戶對應(yīng)的訪問權(quán)限，最普遍的網(wǎng)絡(luò)攻擊形式包括利用竊取或欺騙系統(tǒng)的手段來冒充合法使用者而進(jìn)入網(wǎng)絡(luò)。主要包括漏洞攻擊、口令攻擊以及信息收集攻擊等。身份入侵一般來說是攻擊者對網(wǎng)絡(luò)系統(tǒng)中，一些微不足道缺陷通過不斷的探測性掃描形式。也可以不斷地掃描賬戶與系統(tǒng)，運(yùn)用能夠運(yùn)用權(quán)限來實現(xiàn)端口的掃描形式。這就使系統(tǒng)存在了缺陷，也可以通過不法搜集來的賬號和密碼來盜取。通常對其相關(guān)信息挪用竄改，進(jìn)行這種偷取行為一般是運(yùn)用相關(guān)的盜取軟件與在系統(tǒng)中的公開協(xié)議。

3）拒絕服務(wù)的入侵

DoS（Denial of Service）是拒絕服務(wù)入侵的簡稱，這種入侵行為其實是將一定數(shù)量和一定的序列信息發(fā)送到網(wǎng)絡(luò)系統(tǒng)中去[2]，致使很多需要回復(fù)的消息充盈在網(wǎng)絡(luò)系統(tǒng)的服務(wù)器當(dāng)中，耗費(fèi)了很多網(wǎng)絡(luò)寬帶或網(wǎng)絡(luò)系統(tǒng)的資源，從而促使計算機(jī)或者是網(wǎng)絡(luò)系統(tǒng)在運(yùn)作過程當(dāng)中因為不堪重負(fù)而導(dǎo)致了癱瘓，使正常網(wǎng)絡(luò)服務(wù)無法運(yùn)行，導(dǎo)致計算機(jī)網(wǎng)絡(luò)無響應(yīng)或者是死機(jī)等類似現(xiàn)象的入侵。

4）對于網(wǎng)絡(luò)防火墻的入侵

通常來講，網(wǎng)絡(luò)防火墻都具有非常強(qiáng)的進(jìn)攻性，一般是不會被打破的。但在現(xiàn)實當(dāng)中，總不會盡如人愿，總會在網(wǎng)絡(luò)防火墻當(dāng)中存在一些缺陷，致使網(wǎng)絡(luò)防火墻被打破入侵。

當(dāng)今時代，計算機(jī)網(wǎng)絡(luò)得到飛速的發(fā)展，人們進(jìn)入了大數(shù)據(jù)時代，但也正因為網(wǎng)絡(luò)的發(fā)展，致使計算機(jī)極易遭受到入侵[2]。

2 關(guān)于入侵檢測技術(shù)的介紹

入侵檢測技術(shù)就是通過對收集到的信息和資料進(jìn)行分析，從而發(fā)現(xiàn)在網(wǎng)絡(luò)系統(tǒng)當(dāng)中有風(fēng)險的行為以及發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中有沒有被入侵，并且對計算機(jī)網(wǎng)絡(luò)系統(tǒng)完整和可用性產(chǎn)生威脅的操作進(jìn)行阻止并對使用者進(jìn)行警報技術(shù)。

常見入侵檢測技術(shù)形式有針對完整性的具體分析、對異常情況發(fā)現(xiàn)和相應(yīng)模式的適當(dāng)匹配：相應(yīng)模式之間進(jìn)行匹配是對網(wǎng)絡(luò)當(dāng)中的每一個數(shù)據(jù)包都進(jìn)行試探與檢測，看一看是否具有被入侵的特征，在發(fā)現(xiàn)有可能被入侵的數(shù)據(jù)包當(dāng)中，把具有跟入侵特性一樣長度的字節(jié)提取出來，并進(jìn)行字節(jié)之間的互相比較；如果檢測結(jié)果發(fā)現(xiàn)，提取出來的跟入侵字節(jié)一樣，那么就說明系統(tǒng)被入侵了，對每一個網(wǎng)絡(luò)片段都進(jìn)行這種抽取比對檢查，直到所有都被檢查完畢為止。異常檢測就是采集過去網(wǎng)絡(luò)操作的數(shù)據(jù)，構(gòu)建有關(guān)計算機(jī)網(wǎng)絡(luò)正?；顒拥臋n案。把目前網(wǎng)絡(luò)運(yùn)作狀況跟建立正常的活動檔案進(jìn)行比較，檢查一下看看有沒有脫離正規(guī)的運(yùn)作軌道，從而能夠判斷計算機(jī)網(wǎng)絡(luò)有沒有被入侵。完整性分析就是對計算機(jī)網(wǎng)絡(luò)里文件屬性，目錄和內(nèi)容進(jìn)行檢測，看看有沒有被更改，有沒有處于錯誤的狀態(tài)。這種檢測技術(shù)，能夠及時發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中的任何輕微變化，能夠及時發(fā)現(xiàn)入侵的行為[3]。

入侵檢測的形式有基于網(wǎng)絡(luò)的，還有針對于主機(jī)的：針對于主機(jī)的入侵檢測方式就是對端口和系統(tǒng)的調(diào)用進(jìn)行安全的審計，對應(yīng)用程序和計算機(jī)操作系統(tǒng)的具體使用情況進(jìn)行記錄，把它們跟已經(jīng)掌握攻擊內(nèi)部的數(shù)據(jù)庫進(jìn)行比較，再把它們都記錄到特別的日志中給管理員使用。針對于網(wǎng)絡(luò)的入侵檢測方式，就是對網(wǎng)絡(luò)當(dāng)中的各種行為進(jìn)行分組，并且把那些非常可疑的分組都記錄在一個特別日志里。有了這些分組，入侵檢測通過對已經(jīng)掌握的入侵?jǐn)?shù)據(jù)庫進(jìn)行掃描，從而對每一個分組進(jìn)行嚴(yán)重級別的分級，這樣能夠方便工作人員對這些不正常的地方進(jìn)行更深層次調(diào)查。

3 在計算機(jī)網(wǎng)絡(luò)安全維護(hù)中入侵檢測技術(shù)的應(yīng)用

入侵檢測技術(shù)主要是通過以下方法來維護(hù)計算機(jī)的網(wǎng)絡(luò)安全：對系統(tǒng)活動和用戶進(jìn)行分析和監(jiān)視；對薄弱點和系統(tǒng)的構(gòu)造方式進(jìn)行審計；對掌握了的入侵方式進(jìn)行偵測并且做出反應(yīng)，對相關(guān)人員進(jìn)行警示；統(tǒng)計并且分析具有異常特征的網(wǎng)絡(luò)行為。針對于網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）的體系結(jié)構(gòu)基本上都是多層的，包含ManagerAgent和Console三個部分。它們的工作原理就是 Console從代理那里把信息搜集起來，并且把自己受到的攻擊信息公布出來，讓你能夠管理或者是配置某一個代理。Agent就來監(jiān)視它所在網(wǎng)絡(luò)段的數(shù)據(jù)包。把自己檢測到的結(jié)果發(fā)送給管理器。Manager隨其進(jìn)行統(tǒng)一管理，整理成日志。除此之外，它還要顯示檢測到的入侵信息與安全信息，對攻擊報警消息和配置進(jìn)行回應(yīng)，完成控制臺發(fā)布的命令，把代理所傳遞過來的安全警告信息發(fā)送給控制臺，從而完成全部的入侵檢測。具體操作如下：

1）信息的收集

數(shù)據(jù)占據(jù)了非常重要的位置在入侵檢測當(dāng)中。數(shù)據(jù)源大體上有這四種：以物理形態(tài)進(jìn)行入侵；在程序的執(zhí)行過程中不希望出現(xiàn)的行為；在文件和目錄當(dāng)中不希望出現(xiàn)的改變；網(wǎng)絡(luò)日志與系統(tǒng)的文件。在應(yīng)用的時候，進(jìn)行信息采集時要在每一個網(wǎng)段上都布置單個或者更多的IDS代理，因為網(wǎng)絡(luò)的構(gòu)成都不一樣，所以它的數(shù)據(jù)收集也就被分成了不一樣的接連方式，如果把網(wǎng)段用集線器接連起來，在交換機(jī)的芯片上大多都有一個端口，它是用來調(diào)試的，使用者可以把網(wǎng)絡(luò)從這里接入，也可以將入侵檢測系統(tǒng)安置在一些重要數(shù)據(jù)的出入口當(dāng)中，差不多能夠得到全部的數(shù)據(jù)。與此同時，對于一些在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中不同關(guān)鍵點的信息進(jìn)行采集，除了要根據(jù)目標(biāo)來檢測，使檢測的范圍盡可能地大，還有一個相對欠缺的環(huán)節(jié)，有可能對來自同一個地方信息檢測不出來一丁點可疑的地方。這就需要我們在對入侵信息進(jìn)行采集時，著重探析來自不同目標(biāo)之間不同的特性，以此來作為系統(tǒng)判別是否屬于可疑的行為或者是入侵的最好標(biāo)志。針對于當(dāng)今的網(wǎng)絡(luò)時代，入侵的行為還是比較少見的，對于那些不常見的數(shù)據(jù)可以進(jìn)行單獨(dú)處理，加強(qiáng)入侵分析的針對性。因此，對于孤立點的挖掘在入侵的檢測技術(shù)當(dāng)中是信息搜集的基礎(chǔ)手段，它的操作原理就是把那些不一樣的，不常見的，部分的數(shù)據(jù)從復(fù)雜的大量數(shù)據(jù)當(dāng)中抽取出來進(jìn)行單獨(dú)的處理。這就大大的克服里之前所說的，因為訓(xùn)練樣本當(dāng)中的正常的模式不健全而帶來的失誤率高的問題。

2）對信息進(jìn)行分析

對于上述所收集到的有關(guān)信息，通過對數(shù)據(jù)的分析，從而發(fā)現(xiàn)當(dāng)中的違反了安全規(guī)定的活動，而且把它發(fā)送給了管理器。設(shè)計人員應(yīng)該對于各種系統(tǒng)的漏洞和網(wǎng)絡(luò)的協(xié)議等具有非常深刻清醒地認(rèn)識，然后完善關(guān)于計算機(jī)網(wǎng)絡(luò)的安全措施并健全安全信息庫。然后再分別建立異常檢測模型和濫用檢測模型，能夠使機(jī)器對自己進(jìn)行模擬分析，最后再把分析得到的最后結(jié)果匯聚成報警提示，對控制中心盡心警告。與此同時，相對于TCP/IP的這個網(wǎng)絡(luò)來說，網(wǎng)絡(luò)探測引擎在入侵的檢測手段中也占據(jù)著重要的位置。網(wǎng)絡(luò)探測引擎就相當(dāng)于是1個傳感器，它對網(wǎng)絡(luò)上流通的數(shù)據(jù)包進(jìn)行檢測的方式主要是旁路監(jiān)聽，對于檢測到異常事件形成警示，并且最終整合成警示消息，傳遞給控制臺。

3）關(guān)于信息的響應(yīng)

遇到入侵時候能夠做出相應(yīng)的反應(yīng)是IDS使命。它運(yùn)作過程是，對數(shù)據(jù)進(jìn)行基本的分析，然后檢測本地的網(wǎng)段，把藏匿在數(shù)據(jù)包當(dāng)中入侵行為搜尋出來，并及時對探測到的入侵行為做出相應(yīng)的反應(yīng)。大體上就包含網(wǎng)絡(luò)引擎通知或者是告警，比方說對控制臺給出警示、發(fā)送 E-mail或者是SNMP trap給負(fù)責(zé)安全的管理人員、對其他控制臺進(jìn)行通報和對實時通話查看等；對現(xiàn)場進(jìn)行記錄，比方說對整個會話進(jìn)行記錄以及事件日志等；采取安全響應(yīng)行動，比方說對指定用戶響應(yīng)程序進(jìn)行執(zhí)行、對入侵的接連進(jìn)行終止等等[4]。

4）把防火墻和入侵檢測技術(shù)進(jìn)行結(jié)合應(yīng)用

防火墻可以很好地對周邊的危機(jī)起到防御作用，能夠非常好控制網(wǎng)絡(luò)層或應(yīng)用層的訪問，但是，不能夠?qū)?nèi)部網(wǎng)絡(luò)進(jìn)行非常好的監(jiān)視和控制。那么，就很容易導(dǎo)致利用協(xié)議隧道來避繞開防火墻進(jìn)行網(wǎng)絡(luò)入侵行為，給計算機(jī)網(wǎng)絡(luò)造成了嚴(yán)重的威脅，也就是說，防火墻不能完全保證計算機(jī)網(wǎng)絡(luò)安全。那么，我們就可以把防火墻和入侵檢測的級數(shù)結(jié)合起來，發(fā)揮雙方的優(yōu)秀特性，以達(dá)到對計算機(jī)網(wǎng)絡(luò)安全防護(hù)[5]。第一步，入侵檢測系統(tǒng)或者是防火墻為對方開放一個借口，防火墻和入侵檢測系統(tǒng)按照約定好的規(guī)則來進(jìn)行信息交流，進(jìn)行信息交流的兩方，事先互相約定，設(shè)定互相交流的端口。第二步，防火墻對經(jīng)過其數(shù)據(jù)包進(jìn)行檢測，把經(jīng)過的數(shù)據(jù)包與其制定好規(guī)則進(jìn)行對比，最終過濾掉那些不符合規(guī)則和沒有經(jīng)過授權(quán)的數(shù)據(jù)包。最后，關(guān)于那些在防火墻處得“漏網(wǎng)之魚”，入侵檢測技術(shù)就利用已經(jīng)建立起來的入侵信息樣本數(shù)據(jù)庫，對那些不符合規(guī)則的數(shù)據(jù)包進(jìn)行相應(yīng)的警示響應(yīng)，以使用戶進(jìn)行相應(yīng)的防護(hù)措施。

4 總結(jié)

入侵檢測的技術(shù)具有強(qiáng)烈主動性和積極性，對于網(wǎng)絡(luò)安全的維護(hù)具有非常非常重要的作用，特別是在當(dāng)今這個網(wǎng)絡(luò)大爆炸的時代。家家戶戶都在使用計算機(jī)，每個人都接觸網(wǎng)絡(luò)，帶來了很多不穩(wěn)定性，也為計算機(jī)網(wǎng)絡(luò)帶來了各種不安全性，因此，在今后的發(fā)展過程中，我們更應(yīng)該加強(qiáng)入侵檢測技術(shù)的發(fā)展，使其不斷地完善，使其在網(wǎng)絡(luò)安全的維護(hù)中起到積極的作用。

參考文獻(xiàn)：

[1] 溫捷.入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].華東科技，2016（4）：15-15.

[2] 王宇祥.入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全維護(hù)中運(yùn)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）：22-22.

[3] 莫新菊.入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用研究[J].計算機(jī)光盤軟件與應(yīng)用，2012（18）：68-69.

[4] 廉星.計算機(jī)網(wǎng)絡(luò)安全維護(hù)中入侵檢測技術(shù)的有效應(yīng)用[J]. 計算機(jī)光盤軟件與應(yīng)用，2011（8）：58-58.

[5] 李文強(qiáng).計算機(jī)網(wǎng)絡(luò)安全中入侵檢測技術(shù)應(yīng)用分析[J].電腦編程技巧與維護(hù)，2016（6）：99-100.