◆胡嘉俊 張勇 胡國良

入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用研究

◆胡嘉俊 張勇 胡國良

（國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心湖南分中心 湖南 410001）

現(xiàn)階段網(wǎng)絡(luò)環(huán)境成了人們關(guān)注的重點(diǎn)，計算機(jī)網(wǎng)絡(luò)安全成為人們使用計算機(jī)網(wǎng)絡(luò)時首先考慮的重點(diǎn)，由此也說明了有效運(yùn)用入侵檢測技術(shù)的必要性與重要性。本文分析了該技術(shù)在運(yùn)用過程中出現(xiàn)的主要問題，并在入侵檢測系統(tǒng)選擇、加密流量處理、入侵檢測能力提升等三個方面提出了切實(shí)可行的運(yùn)用策略，旨在為用戶加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全維護(hù)提供有益的參考。

計算機(jī)網(wǎng)絡(luò)；入侵檢測技術(shù)；安全維護(hù)；運(yùn)用策略

我國經(jīng)濟(jì)近幾年一直處于飛速增長階段，社會信息化也逐漸趨于完善，計算機(jī)技術(shù)在人群中得到普及和推廣，人們利用互聯(lián)網(wǎng)能夠更為便捷地從事各種活動，如購物、學(xué)習(xí)、瀏覽新聞等等，能夠在足不出戶的情況下獲取豐富的信息。在網(wǎng)絡(luò)環(huán)境中，每一天都會產(chǎn)生大量的互聯(lián)網(wǎng)信息，眾多的應(yīng)用、存儲和數(shù)據(jù)計算等成了人們生活中的?？?。在網(wǎng)絡(luò)為人們帶來方便的同時，網(wǎng)絡(luò)安全問題也值得我們每個人關(guān)注。由于不同用戶所掌握的網(wǎng)絡(luò)知識不完全相同，對網(wǎng)絡(luò)安全的認(rèn)識也具有差異性，當(dāng)計算機(jī)網(wǎng)絡(luò)的安全級別較低時，網(wǎng)絡(luò)漏洞就會被別有用心的人所利用，這種情況下垃圾郵件發(fā)送、木馬篡改數(shù)據(jù)、DDoS攻擊等非法入侵行為將會不可避免地出現(xiàn)，并有可能致使個人、機(jī)構(gòu)或國家遭受難以挽回的損失。傳統(tǒng)的安全防護(hù)手段如防火墻、信息加密等已經(jīng)滿足不了當(dāng)前的需求。入侵檢測作為一項(xiàng)重要的動態(tài)安全防護(hù)手段應(yīng)運(yùn)而生，有效地填補(bǔ)了之前安全防護(hù)技術(shù)的不足之處，開啟了防火墻之后的第二道防火線，各種規(guī)模的入侵檢測系統(tǒng)廣泛應(yīng)用于企業(yè)和政府中，入侵檢測技術(shù)已成為一個重要的課題，成為抵御網(wǎng)絡(luò)入侵的重要手段。

1 入侵檢測技術(shù)的概述

從本質(zhì)上來說，入侵檢測系統(tǒng)就是一種安全防護(hù)系統(tǒng)，它能夠?qū)Ψ欠ㄊ褂糜嬎銠C(jī)與網(wǎng)絡(luò)資源的意圖進(jìn)行識破，繼而采取有效的干預(yù)措施，以阻止一些惡意行為的發(fā)生。入侵檢測技術(shù)所發(fā)揮的作用主要有以下幾種，一是判斷計算機(jī)系統(tǒng)是否會受到外部威脅，對某種行為是否得到用戶授權(quán)進(jìn)行識別；二是對未授權(quán)或其他非法行為進(jìn)行檢測與報告，從而構(gòu)建一道牢固的安全屏障，讓用戶較為放心地利用網(wǎng)絡(luò)資源開展各種活動。入侵檢測系統(tǒng)主要由兩大部分構(gòu)成，其一是計算機(jī)硬件，其二為入侵檢測軟件。

異常入侵與誤用入侵是入侵檢測技術(shù)的主要檢測對象，這兩者都屬于行為范疇。在識別異常入侵與誤用入侵之前，入侵檢測系統(tǒng)需要充分明確異常行為的判斷依據(jù)，以及如何區(qū)分正常行為與異常行為。異常檢測首先為對象的正常行為創(chuàng)立行為輪廓，一旦系統(tǒng)發(fā)現(xiàn)某種行為明顯不同于正常行為，即可將其判定為入侵行為。異常入侵檢測能夠?qū)τ嬎銠C(jī)可能遭受的攻擊進(jìn)行預(yù)測，但該技術(shù)在異?；鶞?zhǔn)值確定、正常行為輪廓模型建立等方面具有較大難度，因而產(chǎn)生了不低的誤報率。在檢測誤用入侵行為之前，入侵檢測系統(tǒng)應(yīng)當(dāng)明確一些規(guī)則，也就是說所有的入侵都能夠被表達(dá)為模式或特征，若判定審計數(shù)據(jù)中出現(xiàn)了這些被定義好的模式則將其視為入侵。誤用入侵檢測主要在于如何表示入侵的特征以準(zhǔn)確無誤地區(qū)分入侵行為和正常行為，該方法的亮點(diǎn)是能夠明確地標(biāo)出入侵的類型，而且正確率較高，誤報的概率明顯偏低。但其突出的弊端是漏報率往往居高不下，因?yàn)樗荒馨l(fā)現(xiàn)已有的攻擊，對系統(tǒng)中的未知攻擊卻束手無策；實(shí)時更新與維護(hù)特征庫也比較困難。異常入侵檢測和誤用入侵檢測這兩種檢測各有其優(yōu)點(diǎn)和不足之處，因此，在實(shí)際使用中往往聯(lián)合使用這兩種方法。

2 入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全應(yīng)用中出現(xiàn)的問題

（1）應(yīng)用方式較單調(diào)

這一問題容易導(dǎo)致計算機(jī)網(wǎng)絡(luò)的安全性能明顯降低。就現(xiàn)階段而言，應(yīng)用于計算機(jī)網(wǎng)絡(luò)中的入侵檢測技術(shù)以檢測相關(guān)特征為主，其防御及時性有所不足，這種單調(diào)的應(yīng)用方式往往對計算機(jī)網(wǎng)絡(luò)的安全性造成了不利影響。另外，該技術(shù)僅只能分析與檢測與其直接相連的網(wǎng)段，不能檢測不同網(wǎng)段的網(wǎng)絡(luò)信息，所以它真正檢測的網(wǎng)段是很有限的，這就導(dǎo)致入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全監(jiān)測中有很大的局限性。再者，入侵檢測技術(shù)在實(shí)際應(yīng)用過程中所產(chǎn)生的誤報率也是無法得到有效控制的。所謂誤報，是指該技術(shù)將一些特征不太明顯但卻經(jīng)過用戶授權(quán)的行為判定為非法行為或異常行為。實(shí)際上，任何一種入侵檢測系統(tǒng)都會誤報，這是由多種因素導(dǎo)致的，如集中協(xié)調(diào)機(jī)制不健全、主機(jī)安全級別較低、網(wǎng)絡(luò)漏洞較多、信息共享標(biāo)準(zhǔn)機(jī)制缺失、系統(tǒng)跟蹤分析數(shù)據(jù)信息的能力不強(qiáng)等等。

（2）數(shù)據(jù)處理能力不足

一般來說，用戶在利用計算機(jī)和網(wǎng)絡(luò)資源開展各種活動的過程中，定然會產(chǎn)生多樣而繁雜的數(shù)據(jù)信息，為避免其中一些重要的數(shù)據(jù)信息遭到篡改、泄露或丟失，有必要應(yīng)用有效的加密處理技術(shù)。然而從現(xiàn)實(shí)中不難發(fā)現(xiàn)，在構(gòu)建入侵檢測系統(tǒng)以后，計算機(jī)網(wǎng)絡(luò)的安全性能并未得到顯著提升。由于入侵檢測技術(shù)表現(xiàn)出較低的數(shù)據(jù)處理能力，大量數(shù)據(jù)信息難以得到加密處理，從而增加了用戶隱私暴露的可能性，甚至?xí)?dǎo)致其關(guān)鍵數(shù)據(jù)被非法竊取。當(dāng)前，上網(wǎng)已經(jīng)成為我國居民的普遍行為，很多活動都需要在網(wǎng)絡(luò)環(huán)境中開展，這必然會導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)越積越多。因此，入侵檢測技術(shù)只有注重提高識別與判斷入侵行為的速度與正確率，才能充分滿足用戶對海量信息進(jìn)行加密處理的需求。

（3）檢測技術(shù)有待提高

與歐美等發(fā)達(dá)國家相比，我國計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展相對滯后，因受到多種因素的影響，該領(lǐng)域尚未能保持最快的發(fā)展速度。因計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)本身還不夠成熟，而入侵檢測系統(tǒng)的管理人員往往也不具備豐富的計算機(jī)知識，當(dāng)一些特殊問題出現(xiàn)時，系統(tǒng)便難以充分發(fā)揮其防御作用，這種狀況不僅會導(dǎo)致計算機(jī)網(wǎng)絡(luò)的安全級別明顯下降，而且對我國計算機(jī)網(wǎng)絡(luò)的良性發(fā)展產(chǎn)生了極為不利的影響。由此說明，計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)有待于進(jìn)一步提高。通過深入分析可知，當(dāng)前偏低的入侵檢測技術(shù)與多種因素相關(guān)，比如檢測方法的自適應(yīng)能力不強(qiáng)，入侵檢測算法不能有效阻止ATP攻擊行為，未能考慮到協(xié)同攻擊行為的發(fā)生，識別攻擊行為時僅僅以規(guī)則庫為依據(jù)，等等。

3 計算機(jī)網(wǎng)絡(luò)安全中應(yīng)用入侵檢測技術(shù)的相關(guān)對策

（1）采用分布式部署入侵檢測系統(tǒng)

網(wǎng)絡(luò)技術(shù)的發(fā)展致使網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)與規(guī)模均出現(xiàn)了非常大的變化，在這種狀況下，若要提高入侵檢測技術(shù)的應(yīng)用效率，必須積極應(yīng)對新的問題與挑戰(zhàn)。當(dāng)前，協(xié)同攻擊、共同攻擊等現(xiàn)象越來越突出，而網(wǎng)絡(luò)環(huán)境中的攻擊數(shù)據(jù)源又具有明顯的分散性。無論是針對協(xié)同式攻擊還是分布式攻擊，入侵檢測技術(shù)都應(yīng)當(dāng)快速檢測攻擊數(shù)據(jù)源，并基于深入分析，對攻擊信息進(jìn)行準(zhǔn)確定位。單個主機(jī)所安裝的入侵檢測系統(tǒng)通常具有獨(dú)立性，但在主機(jī)性能與系統(tǒng)自身結(jié)構(gòu)的限制下，系統(tǒng)很難對協(xié)同式攻擊行為和分布式攻擊行為進(jìn)行有效阻止。在分布式入侵檢測系統(tǒng)中，管理器、分析器、數(shù)據(jù)采集器等是主要的構(gòu)成部件，這些部件通過遵從協(xié)同規(guī)則從而順利完成了入侵檢測任務(wù)。從整個運(yùn)行過程來看，該系統(tǒng)首先采集來自不同網(wǎng)段的入侵信息，然后對其進(jìn)行關(guān)聯(lián)分析，最后確定攻擊數(shù)據(jù)源并采取切實(shí)有效的處理方式。分布式入侵檢測系統(tǒng)表現(xiàn)出以下幾種優(yōu)勢。一是明顯擴(kuò)大了檢測范圍；二是檢測水平高于獨(dú)立的入侵檢測系統(tǒng)；三是具有良好的可擴(kuò)展性，能夠滿足網(wǎng)絡(luò)發(fā)展需求；四是可分析檢測數(shù)據(jù)的關(guān)聯(lián)性，并且提高了檢測精度；五是在個別檢測部件失效的前提下，仍然能夠針對分布式協(xié)同攻擊完成檢測工作。

（2）利用機(jī)器學(xué)習(xí)人工智能技術(shù)處理加密流量

在傳統(tǒng)模式下，入侵檢測技術(shù)的應(yīng)用與流量分類均需要掌握用戶的隱私信息以及提取復(fù)雜的特征。最近幾年，由于網(wǎng)絡(luò)帶寬得到了改善，應(yīng)用層協(xié)議更加復(fù)雜，而且加密技術(shù)也在不斷提高，用戶更為注重保護(hù)自己的隱私信息，如果在此背景下入侵檢測技術(shù)未能得到及時更新，必然不利于對加密流量的有效處理。雖然流量加密能夠使用戶隱私得到保護(hù)，但卻給不法分子實(shí)施入侵行為提供了機(jī)會。這些人員在傳輸網(wǎng)絡(luò)數(shù)據(jù)時，通過利用HTTPS等加密流量即可防止遭到系統(tǒng)的檢測。很多特意軟件借助HTTPS來破壞正常的網(wǎng)絡(luò)環(huán)境，而大部分勒索軟件家族則使用HTTPS進(jìn)行傳播。因此，對加密的惡意流量進(jìn)行檢測刻不容緩。

（3）利用數(shù)據(jù)挖掘技術(shù)提升入侵檢測能力

當(dāng)前，網(wǎng)絡(luò)寬帶速度在大幅度提升，與此同時大數(shù)據(jù)存儲技術(shù)在眾多領(lǐng)域得到了良好應(yīng)用，基于網(wǎng)民不斷增加，產(chǎn)生了越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境與難以計數(shù)的網(wǎng)絡(luò)流量數(shù)據(jù)，因而只有提高入侵檢測技術(shù)的檢測能力，才能獲得較為理想的用戶滿意度。在這方面，很多學(xué)者開展了大量的研究工作，并通過深入分析指出，引入數(shù)據(jù)挖掘技術(shù)有助于改善入侵檢測系統(tǒng)的數(shù)據(jù)處理效果。具體而言，入侵檢測系統(tǒng)應(yīng)當(dāng)利用大數(shù)據(jù)技術(shù)對海量的、不確定的、不精細(xì)的歷史數(shù)據(jù)進(jìn)行全面分析，然后再對某些行為特征進(jìn)行提取，繼而實(shí)現(xiàn)對流量規(guī)則庫的完善。

計算機(jī)網(wǎng)絡(luò)安全在當(dāng)今社會是非常重要的，網(wǎng)絡(luò)信息數(shù)據(jù)龐大，加強(qiáng)入侵檢測技術(shù)才能最大程度地保障網(wǎng)絡(luò)安全，通過加強(qiáng)研發(fā)和應(yīng)用，既能夠增強(qiáng)工作人員的業(yè)務(wù)素質(zhì)，又能夠提高入侵檢測技術(shù)的智能化水平，可為構(gòu)建安全級別較高的計算機(jī)網(wǎng)絡(luò)系統(tǒng)奠定牢固的基礎(chǔ)，以使我國計算機(jī)網(wǎng)絡(luò)行業(yè)實(shí)現(xiàn)快速、穩(wěn)定而健康的發(fā)展。

[1]趙勇. 計算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)分析[J].電腦編程技巧與維護(hù)，2021（05）：159-160.

[2]鹿鳴. 探析計算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)[J].電子測試，2021（10）：54-55.

[3]陸艷芳. 淺談入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用路徑[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（03）：20-21.

[4]桂江明. 探析計算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)[J].信息與電腦（理論版），2020，32（01）：174-175.

[5]趙華. 入侵檢測技術(shù)在計算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用研究[J].信息與電腦（理論版），2020，32（01）：209-210.