周璟　顧宇明

摘要：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在信息管理和保存方面都有著不可忽視的作用，但是近幾年隨著網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)技術(shù)地不斷發(fā)展，網(wǎng)絡(luò)安全成為計(jì)算技術(shù)發(fā)展過(guò)程中面臨的問(wèn)題和挑戰(zhàn)。而維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全首先就要解決計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)問(wèn)題，入侵檢測(cè)系統(tǒng)作為時(shí)下網(wǎng)絡(luò)信息安全的一門(mén)新型技術(shù)，在保障網(wǎng)絡(luò)安全中起著非常重要的作用，本文將再次基礎(chǔ)上，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)及其技術(shù)進(jìn)行探究，希望對(duì)促進(jìn)我國(guó)網(wǎng)絡(luò)安全有所幫助。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng) 檢測(cè)方法

計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)逐漸成為人們生活中不可或缺的一部分，不斷改變著人們的生活方式和交流方式，使得人們的生活充滿變化，同時(shí)為人們創(chuàng)造更多獲取信息的途徑，為人們提供了很大方便。在這個(gè)信息時(shí)代，也有很多人表示并不適應(yīng)，因?yàn)樽陨硇畔⑿孤兜谋容^嚴(yán)重，這無(wú)異于是給網(wǎng)絡(luò)時(shí)代發(fā)展帶來(lái)很多阻礙，網(wǎng)絡(luò)安全問(wèn)題成為時(shí)下人們最關(guān)心的話題和焦點(diǎn)。因此必須采取必要的措施防止這種網(wǎng)絡(luò)安全問(wèn)題蔓延，入侵檢測(cè)法是近年來(lái)計(jì)算機(jī)技術(shù)研發(fā)人員關(guān)注的焦點(diǎn)。

一、入侵檢測(cè)系統(tǒng)工作步驟和原理

（一）收集信息。入侵檢測(cè)系統(tǒng)工作的第一個(gè)步驟就是收集信息，通過(guò)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)對(duì)用戶信息進(jìn)行搜集、處理和識(shí)別，并能夠在關(guān)鍵節(jié)點(diǎn)上，對(duì)入侵信息進(jìn)行搜集和處理，對(duì)其收集的所有信息進(jìn)行識(shí)別和分類(lèi)，從而尋找到入侵信息。這種工作模式量比較大，但是能夠比較有效的找到入侵信息，能夠保證計(jì)算機(jī)系統(tǒng)的安全，從而為用戶提供更好的使用環(huán)境。

（二）分析信息。當(dāng)入侵系統(tǒng)對(duì)網(wǎng)絡(luò)、系統(tǒng)以及用戶信息搜集完畢之后，就要對(duì)搜集到的信息進(jìn)行處理和分析，從而找到對(duì)計(jì)算機(jī)系統(tǒng)不利的信息來(lái)源，及時(shí)阻止對(duì)計(jì)算機(jī)不利的信息。對(duì)破壞信息地分析是入侵檢測(cè)系統(tǒng)最基本的功能之一，工作人員需要事先對(duì)正常信息檢測(cè)進(jìn)行編碼，當(dāng)入侵系統(tǒng)檢測(cè)到與正常信息編碼不一致的信息，能夠及時(shí)發(fā)出警示和提醒，并作出相應(yīng)的防護(hù)措施。

（三）保存信息。入侵系統(tǒng)在檢測(cè)到入侵信息之后，既要作出及時(shí)處理，同時(shí)還要將這些入侵信息進(jìn)行保存，一方面為了方便計(jì)算機(jī)網(wǎng)絡(luò)管理人員進(jìn)行實(shí)時(shí)查看，另一方面可以將保存的入侵信息作為入侵證據(jù)。另外將這些信息進(jìn)行保存還有一個(gè)非常重要目的，可以方便以后建立新型防護(hù)措施。

（四）響應(yīng)攻擊。計(jì)算機(jī)入侵檢測(cè)系統(tǒng)在對(duì)入侵信息進(jìn)行分析和保存之后，就要對(duì)入侵信息作出及時(shí)響應(yīng)，處理的方式有手動(dòng)和自動(dòng)兩種，手動(dòng)響應(yīng)是指計(jì)算機(jī)系統(tǒng)在檢測(cè)到入侵信息之后通過(guò)郵件和警報(bào)的方式向網(wǎng)絡(luò)管理人員報(bào)告工作狀態(tài)，管理人員根據(jù)檢測(cè)結(jié)果采取一定措施，自動(dòng)響應(yīng)是指通過(guò)入侵檢測(cè)系統(tǒng)的后續(xù)防御系統(tǒng)對(duì)外來(lái)攻擊信息作出處理措施。

二、入侵系統(tǒng)的檢測(cè)方法

（一）異常檢測(cè)法。入侵系統(tǒng)異常檢測(cè)法主要用于檢測(cè)用戶的異常行為及其對(duì)計(jì)算機(jī)資源的異常使用，防止由于用戶的不恰當(dāng)行為對(duì)計(jì)算機(jī)入侵系統(tǒng)造成損害。采取異常檢測(cè)法首先需要根據(jù)相應(yīng)用戶的日常活動(dòng)建立模型，通過(guò)模型對(duì)系統(tǒng)與用戶的實(shí)際行為進(jìn)行對(duì)比，從而對(duì)用戶行為是否會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成攻擊的可能性進(jìn)行判斷。這種檢測(cè)方法有比較好的適應(yīng)性和檢測(cè)未知攻擊模式的能力，但同時(shí)具有很?chē)?yán)重的缺點(diǎn)，誤報(bào)率和檢測(cè)結(jié)果的準(zhǔn)確性差，這也是入侵檢測(cè)系統(tǒng)在發(fā)展過(guò)程中需要解決的技術(shù)難題。

（二）混合檢測(cè)法?；旌蠙z測(cè)法包含異常檢測(cè)法和濫用檢測(cè)法的優(yōu)點(diǎn)，形成一種很好的互補(bǔ)模式，對(duì)計(jì)算機(jī)系統(tǒng)安全維護(hù)起到很好的全方位保護(hù)效果。是目前應(yīng)用最為廣泛的一種入侵系統(tǒng)檢測(cè)方法，提高入侵系統(tǒng)整體檢測(cè)性能和效率。

三、計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)

（一）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)。在需要保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)中安裝功能齊全的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，將原始正常值與入侵信息進(jìn)行對(duì)比，從而迅速找到異常信息的蹤跡。在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)中，要將所有與網(wǎng)絡(luò)行為有關(guān)的原始信息進(jìn)行輸入，同時(shí)要對(duì)實(shí)時(shí)生成的網(wǎng)絡(luò)行為信息進(jìn)行監(jiān)控和處理，通過(guò)過(guò)濾器、探測(cè)器、網(wǎng)絡(luò)接口引擎等元件對(duì)網(wǎng)絡(luò)行為信息進(jìn)行識(shí)別和處理。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中數(shù)據(jù)采集模塊主要功能是按照一定網(wǎng)絡(luò)協(xié)議從網(wǎng)絡(luò)上獲取與入侵事件有關(guān)的全部數(shù)據(jù)信息，獲取后將其傳輸?shù)饺肭謾z測(cè)系統(tǒng)中，對(duì)其安全性進(jìn)行全面細(xì)致的分析，從而更加準(zhǔn)確判斷其是否具有攻擊性。入侵分析模塊主要功能是結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)，對(duì)數(shù)據(jù)采集模塊傳輸?shù)臄?shù)據(jù)信息進(jìn)行安全分析和保存，并將分析結(jié)果傳送至配置與管理模塊上，配置與管理模塊可以對(duì)分析結(jié)果進(jìn)行適配，并將結(jié)果傳送給計(jì)算機(jī)網(wǎng)絡(luò)管理人員。每一個(gè)模塊都有其獨(dú)立的功能和作用，當(dāng)外來(lái)信息對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)有攻擊行為時(shí)，各個(gè)功能將發(fā)揮各自作用，對(duì)計(jì)算機(jī)系統(tǒng)采取及時(shí)保護(hù)并作出響應(yīng)。

（二）主機(jī)入侵檢測(cè)系統(tǒng)設(shè)計(jì)。主機(jī)入侵檢測(cè)系統(tǒng)數(shù)據(jù)通常包括應(yīng)用程序日志和系統(tǒng)日志，主要是針對(duì)審計(jì)記錄文件內(nèi)容與攻擊內(nèi)容進(jìn)行匹配和對(duì)比，如果檢測(cè)到的信息與系統(tǒng)檢測(cè)信息進(jìn)行對(duì)比之后不匹配，說(shuō)明該信息不具有攻擊性，匹配則具有攻擊性。主機(jī)入侵檢測(cè)系統(tǒng)設(shè)計(jì)之時(shí)，還要注意在檢測(cè)系統(tǒng)在完全被攻擊者控制之前完成對(duì)審計(jì)數(shù)據(jù)的分析，并能夠及時(shí)發(fā)出警報(bào)采取一定防護(hù)措施，從而減小對(duì)主體系統(tǒng)的損害程度。

四、結(jié)語(yǔ)

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題處理中，入侵檢測(cè)系統(tǒng)的研究和應(yīng)用是非常重要的，是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)維護(hù)的重要環(huán)節(jié)，性能良好的入侵檢測(cè)系統(tǒng)能夠有效防止計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)的毒害，能夠有效彌補(bǔ)防火墻的不足之處，為計(jì)算機(jī)提供更加有效的安全防護(hù)保障。進(jìn)入21世紀(jì)，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展處于一個(gè)全新階段，未來(lái)技術(shù)的發(fā)展將更加完善和科學(xué)，為用戶帶來(lái)更多安全保障，入侵檢測(cè)系統(tǒng)的持續(xù)研究和發(fā)展，將為計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)，促進(jìn)我國(guó)科學(xué)技術(shù)不斷進(jìn)步和發(fā)展。endprint