導(dǎo)語：如何才能寫好一篇入侵檢測技術(shù)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；入侵檢測技術(shù)；入侵檢測系統(tǒng)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 01-0000-02

Intrusion Detection Technology Study

Gu Xiaoning

(Jining Teachers College Computer Science Department,Wulanchabu012000,China)

Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.

Keywords:Network security;Intrusion detection;Detection technology;

Intrusion detection system

一、引言

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，各種網(wǎng)絡(luò)攻擊和入侵事件時(shí)有發(fā)生，所造成的破壞性和損失日益嚴(yán)重。網(wǎng)絡(luò)安全威脅愈加被人們所重視。

傳統(tǒng)的信息安全方法都是靜態(tài)的安全防御技術(shù)，面對現(xiàn)今復(fù)雜多變的入侵手段難以應(yīng)付。而入侵檢測是一種動(dòng)態(tài)安全的核心技術(shù)，它通過對入侵行為的發(fā)覺，收集信息進(jìn)行分析，并做出實(shí)時(shí)的響應(yīng)，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊擊的跡象，在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供對系統(tǒng)的實(shí)時(shí)保護(hù)[1]。

二、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是傳統(tǒng)操作系統(tǒng)加固和防火墻隔離技術(shù)的合理補(bǔ)充，它的功能是監(jiān)控并分析系統(tǒng)及用戶活動(dòng)，檢查系統(tǒng)的配置和漏洞，發(fā)現(xiàn)已知的攻擊行為以及分析異常行為，對系統(tǒng)日志進(jìn)行管理并識別非正?；顒?dòng)，對發(fā)現(xiàn)的入侵行為進(jìn)行告警和響應(yīng)等。它能夠保護(hù)網(wǎng)絡(luò)安全策略，可以提高系統(tǒng)管理員的安全管理能力和信息安全基礎(chǔ)結(jié)構(gòu)的完整性。理想的入侵檢測系統(tǒng)應(yīng)該管理方便、配置簡單，擴(kuò)展性強(qiáng)、保護(hù)范圍廣。應(yīng)該具備動(dòng)態(tài)自適應(yīng)性，應(yīng)能夠根據(jù)網(wǎng)絡(luò)的規(guī)模、系統(tǒng)的構(gòu)造和安全需求的改變而改變。

（一）入侵檢測系統(tǒng)的工作模式

入侵檢測的工作過程一般分四個(gè)方面：

（1）對信息進(jìn)行采集。（2）分析該信息，試圖尋找入侵活動(dòng)的特征。（3）對檢測到的行為自動(dòng)作出響應(yīng)。（4）記錄并處理結(jié)果。

（二）入侵檢測系統(tǒng)的分類[2]

1.根據(jù)目標(biāo)系統(tǒng)的類型來看，可以分為兩類

（1）基于主機(jī)（Host-Based）的入侵檢測系統(tǒng)。通常，基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。它通過監(jiān)視并分析主機(jī)系統(tǒng)的日志、端口調(diào)用和安全審計(jì)記錄等來檢測入侵，保護(hù)主機(jī)的系統(tǒng)安全。

（2）基于網(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)。該類型的入侵檢測系統(tǒng)主要作用是針對保護(hù)網(wǎng)絡(luò)。該系統(tǒng)由混雜模式下的網(wǎng)絡(luò)適配器組成，用來識別網(wǎng)絡(luò)中的原始數(shù)據(jù)包，實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

2.根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源

入侵檢測系統(tǒng)分析的數(shù)據(jù)可以是主機(jī)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報(bào)警日志以其他入侵檢測系統(tǒng)的報(bào)警信息等

3.根據(jù)入侵檢測方法可以分為兩類

（1）異常入侵檢測檢測。該類型的系統(tǒng)基于正常狀態(tài)數(shù)據(jù)特征判斷主體系統(tǒng)是否入侵。

（2）誤用入侵檢測。該檢測系統(tǒng)收集非正常數(shù)據(jù)特征通過匹配來確定系統(tǒng)中是否有入侵和攻擊。

4.根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布方式

（1）集中式入侵檢測系統(tǒng)；（2）分布式入侵檢測系統(tǒng)。

（三）入侵檢測的系統(tǒng)的數(shù)據(jù)源

1.基于主機(jī)的數(shù)據(jù)源

（1）系統(tǒng)運(yùn)行狀態(tài)信息；（2）系統(tǒng)記帳信息；（3）系統(tǒng)日志。

2.基于網(wǎng)絡(luò)的數(shù)據(jù)源

（1）SNMP信息；（2）網(wǎng)絡(luò)通信包

3.應(yīng)用程序日志文件

4.其他入侵檢測系統(tǒng)的報(bào)警信息

三、入侵檢測技術(shù)

入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。它在系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)采集信息，從中發(fā)現(xiàn)內(nèi)部、外部攻擊與合法用戶是否濫用特權(quán)。入侵檢測技術(shù)可以根據(jù)用戶的歷史行為或的當(dāng)前操作，完成對入侵的檢測，根據(jù)系統(tǒng)入侵的痕跡，來恢復(fù)和處理數(shù)據(jù)[1]。

（一）入侵檢測的過程。入侵檢測的過程分為三步：信息收集、信息分析以及告警與響應(yīng)[5]。

1.信息收集。想要入侵檢測就必須有信息收集，具體內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等。信息收集要盡可能的擴(kuò)大范圍，從一個(gè)信息源來的信息可能看不出什么，但是從多個(gè)信息源收集到的不同信息能夠最大限度的識別可疑行為或入侵。

2.信息分析。入侵檢測系統(tǒng)收集到的信息量非常大，而且大部分都是正常的信息。想要從龐大的信息中找出少部分的異常入侵信息，就要通過信息分析。所以說信息分析是入侵檢測過程的核心環(huán)節(jié)。

3.告警與響應(yīng)。入侵檢測發(fā)現(xiàn)系統(tǒng)發(fā)生變更后，產(chǎn)生警告并采取響應(yīng)措施，告訴管理員有入侵發(fā)生或者直接處理。

（二）入侵分析的模型。入侵分析是入侵檢測的核心。在這里，我們把入侵分析的處理過程分為三個(gè)階段：構(gòu)建分析器、對現(xiàn)場數(shù)據(jù)進(jìn)行分析、反饋和提煉[2]。

1.構(gòu)建分析器

分析器可以執(zhí)行預(yù)處理、分類和后處理的核心功能

（1）可以收集并生成事件信息；（2）分析預(yù)處理信息；（3）建立一個(gè)行為分析引擎。

2.對現(xiàn)場數(shù)據(jù)進(jìn)行分析

（1）輸入事件記錄；（2）進(jìn)行預(yù)處理；（3）比較事件記錄和知識庫；（4）產(chǎn)生響應(yīng)。

3.反饋和提煉

（三）入侵檢測的分析方法

1.誤用檢測。誤用入侵檢測的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，建立相關(guān)的特征庫。對當(dāng)前的數(shù)據(jù)源來源進(jìn)行各種處理后，再進(jìn)行特征匹配或者規(guī)則匹配工作，如果發(fā)現(xiàn)滿足條件的匹配，則認(rèn)為發(fā)生了一次攻擊行為[4]。

2.異常檢測。異常入侵檢測通過觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正?；顒?dòng)情況之間的差異來實(shí)現(xiàn)。首先建立一個(gè)關(guān)于系統(tǒng)正?；顒?dòng)的狀態(tài)模型并不斷進(jìn)行更新，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)，則指示發(fā)現(xiàn)了非法攻擊行為[9]。

（四）告警與響應(yīng)

在完成系統(tǒng)安全狀況的分析并確定出系統(tǒng)問題以后，就應(yīng)該讓人們知道這些問題的存在，這個(gè)階段就叫做響應(yīng)期。響應(yīng)又可以分為兩種模式：被動(dòng)響應(yīng)和主動(dòng)響應(yīng)。

被動(dòng)響應(yīng)就是系統(tǒng)只簡單的記錄和報(bào)告所檢測出來的問題，而主動(dòng)響應(yīng)則是系統(tǒng)主動(dòng)阻斷攻擊防止入侵[5]。

四、入侵檢測技術(shù)的發(fā)展趨勢

前面介紹了入侵檢測系統(tǒng)和入侵檢測技術(shù)的基本概念和功能，并對典型入侵檢測技術(shù)進(jìn)行了分析。通過這些介紹和分析，可以得出結(jié)論：入侵檢測技術(shù)是網(wǎng)絡(luò)安全解決方案的一個(gè)重要組成部分。雖然入侵檢測的研究已經(jīng)取得了相當(dāng)?shù)倪M(jìn)展，但是由于現(xiàn)階段信息技術(shù)不斷進(jìn)步，入侵檢測技術(shù)已不能滿足需要。今后的入侵檢測技術(shù)主要朝以下幾個(gè)方向發(fā)展：

（一）寬帶高速實(shí)時(shí)的檢測技術(shù)。網(wǎng)絡(luò)帶寬迅速增長，寬帶接入手段種類繁多，如何實(shí)時(shí)檢測高速網(wǎng)絡(luò)下的入侵行為成為必須解決的問題。因此對入侵檢測的處理能力提出更高的要求。

（二）大規(guī)模分布式的檢測技術(shù)。統(tǒng)一集中式入侵檢測方式存在明顯的缺陷。首先，對于大規(guī)模的分布式攻擊會(huì)造成大量的信息處理遺漏，導(dǎo)致漏報(bào)率的增高。其次，由于網(wǎng)絡(luò)傳輸?shù)难訒r(shí)問題，收集到的數(shù)據(jù)信息不能實(shí)時(shí)的反映當(dāng)前的網(wǎng)絡(luò)狀態(tài)[7]。為了解決這些問題，大部分系統(tǒng)采用了分布式的結(jié)構(gòu)。

（三）智能化入侵檢測。使用智能化的方法與手段來進(jìn)行入侵檢測。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨認(rèn)與泛化。從某種程度上講，入侵檢測技術(shù)一直領(lǐng)先與安全技術(shù)的發(fā)展，兩者相互推動(dòng)、互相促進(jìn)。隨著網(wǎng)絡(luò)的日益普及和各種黑客工具的蔓延，入侵的復(fù)雜化趨勢也越來越明顯，向著分布式、隱蔽化方向發(fā)展。因此，為了適應(yīng)新的發(fā)展形式，智能化入侵檢測具有更廣泛的應(yīng)用前景。

（四）多種分析方法并存。對于入侵檢測系統(tǒng)，分析方法是系統(tǒng)的核心?，F(xiàn)在的入侵檢測系統(tǒng)有很多入侵檢測分析方法，但大部分分析方法只適應(yīng)某些種類的入侵。所以在目前情況下，多種分析方法綜合運(yùn)用是一個(gè)值得研究的問題。

五、結(jié)論

入侵檢測作為一種主動(dòng)性地安全防護(hù)技術(shù)，最大的優(yōu)勢是提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，預(yù)先對入侵活動(dòng)進(jìn)行攔截和響應(yīng)。在網(wǎng)絡(luò)信息安全立體縱深、多重防御的發(fā)展趨勢下，未來的入侵檢測系統(tǒng)可以軟硬件結(jié)合，配合其他網(wǎng)絡(luò)管理軟件，提供更加及時(shí)、準(zhǔn)確的檢測手段。

參考文獻(xiàn)：

[[1]Rebecca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001

[2]蔣建春,馮登國.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:國防工業(yè)出版社,2002

[3]Paul E.Proctor,鄧琦皓等譯.入侵檢測實(shí)用手冊[M].北京:中國電力出版社,2002

[4]韓東海,王超,李群.入侵檢測系統(tǒng)實(shí)例剖析[M].北京:清華大學(xué)出版社,2002

[5]戴英俠,連一峰等.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版,2002

[6]薛靜鋒,寧宇鵬,閻慧.IDS入侵檢測技術(shù)[M].北京:機(jī)械工業(yè)出版社,2004

[7]宋勁松.網(wǎng)絡(luò)入侵檢測的分析、發(fā)現(xiàn)和報(bào)告攻擊[M].北京:國防工業(yè)出版社,2004

篇2

入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

1、監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

2、系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

3、識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

4、異常行為模式的統(tǒng)計(jì)分析；

5、評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

篇3

關(guān)鍵詞:網(wǎng)絡(luò)信息；管理；入侵檢測技術(shù)

在現(xiàn)代之中,一些非法分子利用木馬進(jìn)行相應(yīng)的隱藏,然后通過對于計(jì)算機(jī)植入木馬,進(jìn)行一些信息的竊取?，F(xiàn)代企業(yè)在面臨網(wǎng)絡(luò)非法分子進(jìn)行信息盜取過程之中,首先應(yīng)該對于入侵行為有著明確的認(rèn)識,這就需要現(xiàn)代的入侵檢測技術(shù)了,對于入侵行為有著明確的判定,才能真正的展開后續(xù)行動(dòng),這對現(xiàn)代網(wǎng)絡(luò)信息管理而言十分重要。

1網(wǎng)絡(luò)信息管理中入侵檢測技術(shù)概述

(1)入侵檢測技術(shù)在網(wǎng)絡(luò)信息管理之中的作用。如果說現(xiàn)代計(jì)算機(jī)作為系統(tǒng),那么入侵檢測技術(shù)就相當(dāng)于保安系統(tǒng),對于關(guān)鍵信息的儲(chǔ)存位置進(jìn)行定期檢查和掃描,一旦發(fā)現(xiàn)外來不明用戶杜宇關(guān)鍵信息進(jìn)行查詢,便對使用用戶進(jìn)行警告,幫助用戶進(jìn)行入侵行為的相關(guān)處理,保障關(guān)鍵的信息系統(tǒng)和數(shù)據(jù)信息不會(huì)收到損壞和盜竊。入侵檢測技術(shù)同樣會(huì)對系統(tǒng)之中存在的漏洞進(jìn)行檢查和通報(bào),對于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對于這些位置進(jìn)行處理,更為良好的保證整個(gè)系統(tǒng)的安全,對于現(xiàn)代企業(yè)網(wǎng)絡(luò)系統(tǒng)而言,入侵檢測技術(shù)便是保障的第二道鐵閘。

(2)現(xiàn)階段入侵檢測技術(shù)的主要流程。通常情況下,入侵檢測技主要可以分為兩個(gè)階段。第一個(gè)階段便是信息采集,主要便是對于用戶的各種信息使用行為和重要信息進(jìn)行收集,這些信息的收集主要是通過對于重點(diǎn)信息部位的使用信息進(jìn)行查詢得出的,所以說在現(xiàn)代應(yīng)用之中,入侵檢測技術(shù)一方面應(yīng)用了現(xiàn)代的檢測技術(shù),另外一方面也對于多種信息都進(jìn)行了收集行為,保證了收集信息的準(zhǔn)確性;第二個(gè)階段便是處理相關(guān)信息,通過將收集的信息和過往的信息進(jìn)行有效對比,然后如果對比出相關(guān)錯(cuò)誤便進(jìn)行判斷,判斷使用行為是否違背了網(wǎng)絡(luò)安全管理規(guī)范,如果判斷結(jié)果為肯定,那么便可以認(rèn)定其屬于入侵行為,對于使用用戶進(jìn)行提醒,幫助用戶對于入侵行為進(jìn)行清除。

2現(xiàn)階段入侵檢測技術(shù)的使用現(xiàn)狀

(1)網(wǎng)絡(luò)信息管理中入侵檢測系統(tǒng)的問題。入侵檢測技術(shù)作為一種網(wǎng)絡(luò)輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。所以說很多非法分子的入侵不僅僅是面對系統(tǒng)的,很多先通過入侵技術(shù)的漏洞來進(jìn)行。針對現(xiàn)階段的使用過程而言,入侵檢測技術(shù)仍然存在自身的漏洞危險(xiǎn),也存在主要使用風(fēng)險(xiǎn)。在現(xiàn)階段存在危險(xiǎn)的方面主要有兩個(gè)方面。一方面便是由于入侵檢測系統(tǒng)存在漏洞;另外一方面便是現(xiàn)代計(jì)算機(jī)技術(shù)的發(fā)展。無論是相關(guān)的檢測系統(tǒng)亦或是相關(guān)病毒,都是現(xiàn)代編程人員利用C語言進(jìn)行編程,伴隨著相關(guān)編程水平的不斷提高,兩種技術(shù)同樣得到了自我發(fā)展,所以說很多黑客高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來進(jìn)行相關(guān)分析。所以說新的時(shí)期,入侵檢測技術(shù)也應(yīng)該得到自我的發(fā)展,同樣針對于應(yīng)用網(wǎng)絡(luò)的相關(guān)企業(yè)做好安全保證,保證信息技術(shù)在現(xiàn)代之中的發(fā)展。

(2)現(xiàn)階段網(wǎng)絡(luò)信息管理之中入侵檢測技術(shù)存在的問題。網(wǎng)絡(luò)信息管理之中的入侵檢測技術(shù)在現(xiàn)代之中仍然存在問題,同樣是兩個(gè)方面問題。一方面是由于入侵技術(shù)自身存在漏洞,在現(xiàn)階段很多入侵檢測技術(shù)是通過對于入侵行為進(jìn)行有效的提取,將行為進(jìn)行歸納,對于行為是否符合現(xiàn)代網(wǎng)絡(luò)安全規(guī)范,然后判斷結(jié)果是否為入侵。很多時(shí)候,入侵行為往往較為隱秘,所以說這就導(dǎo)致了相關(guān)的入侵檢測技術(shù)不能對于入侵行為進(jìn)行提取,更無從談起其是否符合網(wǎng)絡(luò)安全規(guī)范。另外一方面的問題便是檢測速度明顯小于入侵速度,這也是在現(xiàn)階段常見的問題。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測過程之中,很多時(shí)候檢測速度小于網(wǎng)絡(luò)檢測速度,這樣的情況下,一些行為尚未進(jìn)行阻攔,便已經(jīng)達(dá)成入侵的目的了,進(jìn)而導(dǎo)致了信息的丟失,所以說這方面的問題同樣應(yīng)該得到改善。企業(yè)在應(yīng)用之中,也應(yīng)該注意這種速度的問題,防止因?yàn)樗俣冗M(jìn)而造成自身信息丟失等。

3網(wǎng)絡(luò)信息管理之中入侵檢測技術(shù)的具體分類

(1)異常檢測,異常檢測顧名思義,便是對于入侵行為進(jìn)行檢測,但是由于入侵的性質(zhì)未定,這就導(dǎo)致很多時(shí)候入侵檢測技術(shù)進(jìn)行了無用功?，F(xiàn)階段往往入侵檢測技術(shù)通過建立一個(gè)行為輪廓來進(jìn)行限定,如果入侵行為已經(jīng)超過了這個(gè)行為輪廓,便確定其為入侵行為。這種模式大大簡化了行為判定的過程,但是由于過于簡單的相應(yīng)行為也容易出現(xiàn)相關(guān)漏洞。在實(shí)際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡(luò)訪問行為,但是在入侵檢測技術(shù)之中被判斷為入侵行為,造成了工作的重復(fù)。所以說在進(jìn)行行為輪廓的確定時(shí),同樣應(yīng)該由一些特征量來確定,減少檢測工作可能出現(xiàn)的失誤,進(jìn)而可以提升檢測工作的效率;另外一方面可以設(shè)置參考數(shù)值,通過參考數(shù)值的評定來進(jìn)行評判,在入侵檢測技術(shù)之中,參考數(shù)值非常重要。

(2)誤用檢測,其應(yīng)用前提便是所有的入侵行為進(jìn)行識別并且進(jìn)行標(biāo)記。在一般情況下,誤用檢測便是通過攻擊方法來進(jìn)行攻擊簽名,然后再通過定義已經(jīng)完成的攻擊簽名對于入侵行為進(jìn)行相關(guān)判斷。很多行為都是通過漏洞來進(jìn)行,所以誤用檢測可以準(zhǔn)確的判斷出相應(yīng)入侵行為,不僅預(yù)防了入侵行為,還可以對于其他入侵行為進(jìn)行警示作用。這種技術(shù)在實(shí)際使用過程之中,提升了入侵檢測數(shù)的效率和準(zhǔn)確。

4結(jié)語

在現(xiàn)代信息技術(shù)得到發(fā)展的今天,網(wǎng)絡(luò)信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。針對于網(wǎng)絡(luò)安全而言,其自身往往具有一些技術(shù)之中的漏洞,所以同樣容易引發(fā)入侵行為。針對于入侵行為,現(xiàn)代之中有著入侵檢測技術(shù),本文對于入侵檢測技術(shù)的使用進(jìn)行了分析,希望為相關(guān)人員帶來相關(guān)思考。

參考文獻(xiàn)

[1]張麗.入侵檢測技術(shù)在網(wǎng)絡(luò)信息管理中的應(yīng)用分析[J].中國科技博覽,2014,第16期:12-12.

[2]陳瑩瑩.網(wǎng)絡(luò)信息管理中入侵檢測技術(shù)的研究[J].信息通信,2013,06期:99-99.

篇4

【關(guān)鍵詞】入侵檢測技術(shù)；網(wǎng)絡(luò)安全；具體運(yùn)用

網(wǎng)絡(luò)信息技術(shù)發(fā)展日新月異，人們在享受它所帶來的便利的同時(shí)，還受到它所帶來的網(wǎng)絡(luò)安全問題的威脅和危害。網(wǎng)絡(luò)安全是基于對網(wǎng)絡(luò)系統(tǒng)的軟、硬件系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行加密和保護(hù)。隨著網(wǎng)絡(luò)信息技術(shù)的應(yīng)用范圍越來越廣泛，對網(wǎng)絡(luò)攻擊的種類增多，程度也越來越嚴(yán)重，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)無法抵御這些種類與日俱增的惡意入侵和攻擊，逐漸不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)更高的要求。入侵檢測技術(shù)是作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的一項(xiàng)補(bǔ)充，它擴(kuò)充了系統(tǒng)管理員的安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)等方面的安全管理能力，提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，成為網(wǎng)絡(luò)安全防護(hù)中第二道堅(jiān)實(shí)的防線。以下將就入侵檢測技術(shù)的概念、工作原理等做出系統(tǒng)的歸納，和入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的具體運(yùn)用進(jìn)行闡述。

1入侵檢測技術(shù)概述

1.1入侵檢測的簡介

入侵檢測技術(shù)，是一種對計(jì)算機(jī)網(wǎng)絡(luò)的程序進(jìn)行入侵式的檢測先進(jìn)技術(shù)，它肩負(fù)著網(wǎng)絡(luò)安全中第二道防線的任務(wù)，起到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的作用。入侵檢測是通過對安全日志、行為、審計(jì)和其他可獲得的信息以及系統(tǒng)的關(guān)鍵信息的收集并作出分析，以此檢測出計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為和受攻擊的對象的一個(gè)工作過程。它實(shí)施保護(hù)工作的過程具體可分為：監(jiān)視、分析網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)系統(tǒng)活動(dòng)；網(wǎng)絡(luò)安全系統(tǒng)構(gòu)造和弱點(diǎn)的審查評估；認(rèn)定反映已知進(jìn)攻活動(dòng)并作出警示警告；網(wǎng)絡(luò)系統(tǒng)異常行為的統(tǒng)計(jì)和分析4個(gè)步驟。入侵檢測技術(shù)能夠同時(shí)兼?zhèn)鋵?shí)時(shí)監(jiān)控內(nèi)部攻擊、外部攻擊和錯(cuò)誤操作的任務(wù)，把對網(wǎng)絡(luò)系統(tǒng)的危害阻截在發(fā)生之前，并對網(wǎng)絡(luò)入侵作出響應(yīng)，是一種相對傳統(tǒng)的被動(dòng)靜態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)提出的一種積極動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

1.2工作原理

入侵檢測系統(tǒng)相當(dāng)于一部典型的窺探設(shè)備，它的工作原理是在不用跨接多個(gè)物理網(wǎng)段也不用轉(zhuǎn)發(fā)流量的前提下，通過收集網(wǎng)絡(luò)上靜態(tài)的、被動(dòng)的相關(guān)數(shù)據(jù)報(bào)文，提取出所收集的數(shù)據(jù)報(bào)文的流量統(tǒng)計(jì)特征的相關(guān)數(shù)據(jù)與入侵檢測系統(tǒng)內(nèi)置的入侵?jǐn)?shù)據(jù)進(jìn)行智能化的匹配和分析，如果出現(xiàn)匹配耦合度高的數(shù)據(jù)報(bào)文流量，那個(gè)它就被認(rèn)定是入侵攻擊，網(wǎng)絡(luò)入侵檢測系統(tǒng)就會(huì)根據(jù)計(jì)算機(jī)系統(tǒng)所設(shè)定的閥值和相應(yīng)的配置激發(fā)報(bào)警并對認(rèn)定的入侵攻擊進(jìn)行一定的反擊。

2入侵檢測技術(shù)網(wǎng)絡(luò)安全中的具體運(yùn)用

入侵檢測技術(shù)包括了聚類算法、數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)等幾個(gè)方面。入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用，重點(diǎn)是這幾種檢測技術(shù)合理的運(yùn)用，具體如下。

2.1聚類算法的運(yùn)用

入侵檢測技術(shù)當(dāng)中的聚類算法在網(wǎng)絡(luò)安全的運(yùn)用具有可以在脫離指導(dǎo)的情況下開展網(wǎng)絡(luò)異常檢測工作?？梢詫]有標(biāo)記的數(shù)據(jù)的工作相似的數(shù)據(jù)歸到同一類中，并對網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行中存在的異常的數(shù)據(jù)迅速高效地識別出來。運(yùn)用到網(wǎng)絡(luò)安全，大大提高了網(wǎng)絡(luò)運(yùn)行的可靠程度，使網(wǎng)絡(luò)安全的級別更上一個(gè)級別。在實(shí)際情況中，網(wǎng)絡(luò)中通常存在著種類比較多的數(shù)據(jù)，當(dāng)中還包括了大量的相似數(shù)據(jù)，這些數(shù)據(jù)如同定時(shí)炸彈般隱藏著極大的危險(xiǎn)，如不能及時(shí)發(fā)現(xiàn)并攔截處理，就會(huì)破壞網(wǎng)絡(luò)安全系統(tǒng)，而聚類算法的運(yùn)用就解決了這一問題，為網(wǎng)絡(luò)安全系統(tǒng)正常運(yùn)行提供了保障。

2.2數(shù)據(jù)挖掘技術(shù)的運(yùn)用

數(shù)據(jù)挖掘技術(shù)，顧名思義就是對互聯(lián)網(wǎng)中的傳輸數(shù)據(jù)的挖掘和分析，從而找出數(shù)據(jù)中的錯(cuò)誤、不規(guī)范、異常等的情況，并適當(dāng)?shù)靥幚磉@些非正常的情況。數(shù)據(jù)挖掘技術(shù)在運(yùn)行速度方面占有絕對的優(yōu)勢，把它運(yùn)用到網(wǎng)絡(luò)安全工作中，這種優(yōu)勢能很好的體現(xiàn)出來出來，它運(yùn)用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)算法和序列挖掘算法來提取網(wǎng)絡(luò)的行為模式，能夠準(zhǔn)確快速地識別網(wǎng)絡(luò)中非正常的、不規(guī)范的運(yùn)行程序；并且運(yùn)用分類算法進(jìn)行歸類和預(yù)測用戶網(wǎng)絡(luò)行為或特權(quán)程序系統(tǒng)的調(diào)用，此外還把聚類算法和數(shù)據(jù)挖掘技術(shù)結(jié)合起來，比較和計(jì)算出每次記錄之間的矢量距自動(dòng)分辨和歸類出用戶的登錄記錄、連接記錄，最后，對各分類出來的數(shù)據(jù)給予相應(yīng)的處理。

2.3智能分布技術(shù)的運(yùn)用

智能分布技術(shù)是基于網(wǎng)絡(luò)擴(kuò)展性、智能性、無關(guān)性等相關(guān)特性而言的對網(wǎng)絡(luò)安全進(jìn)行檢測的技術(shù)。該技術(shù)的在網(wǎng)絡(luò)安全中的運(yùn)用，能夠把網(wǎng)絡(luò)特別是較龐大復(fù)雜的網(wǎng)絡(luò)環(huán)境劃分成幾個(gè)區(qū)域來進(jìn)行檢測，把多個(gè)檢測點(diǎn)設(shè)定在每一個(gè)區(qū)域中，在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)定一個(gè)管理點(diǎn)，對各區(qū)域的檢測點(diǎn)進(jìn)行檢測再集中管理，從而分析檢測出入侵的程序和異常的數(shù)據(jù)等。這樣不但能提高網(wǎng)絡(luò)安全系數(shù)，還可以確保對入侵程序快速準(zhǔn)確地定位，并及時(shí)采取有針對性的處理方法，極大程度地提高了網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行效率。

3總結(jié)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用的領(lǐng)域越來越廣泛，隨之而來出現(xiàn)的網(wǎng)絡(luò)安全問題種類也越來越多，危害程度越來越大，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)對網(wǎng)絡(luò)安全的作用效果逐漸降低甚至失效，入侵檢測技術(shù)的出現(xiàn)，挽救了這個(gè)局面，通過把聚類算法、數(shù)據(jù)挖掘技術(shù)、智能分布技術(shù)等入侵檢測技術(shù)相互配合運(yùn)用到網(wǎng)絡(luò)安全中，為網(wǎng)絡(luò)安全提供了第二道防線的保護(hù)，對入侵網(wǎng)絡(luò)的攻擊進(jìn)行快速有效的攔截和反擊，很大程度降低了入侵攻擊所帶來的傷害，大大提高了網(wǎng)絡(luò)安全的系數(shù)。是未來網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢。

參考文獻(xiàn)

[1]張正昊.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施[J].科技風(fēng),2014(19).

[2]隋新,劉瑩.入侵檢測技術(shù)的研究[J].科技通報(bào),2014(11).

[3]孫志寬.計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及對策研究[J].科技風(fēng),2014(19).

[4]周小燕.網(wǎng)絡(luò)入侵安全檢查實(shí)踐操作分析[J].無線互聯(lián)科技,2014(11).

篇5

【關(guān)鍵詞】入侵檢測技術(shù) 網(wǎng)絡(luò)安全 具體運(yùn)用

網(wǎng)絡(luò)信息技術(shù)發(fā)展日新月異，人們在享受它所帶來的便利的同時(shí)，還受到它所帶來的網(wǎng)絡(luò)安全問題的威脅和危害。網(wǎng)絡(luò)安全是基于對網(wǎng)絡(luò)系統(tǒng)的軟、硬件系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行加密和保護(hù)。隨著網(wǎng)絡(luò)信息技術(shù)的應(yīng)用范圍越來越廣泛，對網(wǎng)絡(luò)攻擊的種類增多，程度也越來越嚴(yán)重，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)無法抵御這些種類與日俱增的惡意入侵和攻擊，逐漸不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)更高的要求。入侵檢測技術(shù)是作為傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的一項(xiàng)補(bǔ)充，它擴(kuò)充了系統(tǒng)管理員的安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)等方面的安全管理能力，提升了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，成為網(wǎng)絡(luò)安全防護(hù)中第二道堅(jiān)實(shí)的防線。以下將就入侵檢測技術(shù)的概念、工作原理等做出系統(tǒng)的歸納，和入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的具體運(yùn)用進(jìn)行闡述。

1 入侵檢測技術(shù)概述

1.1 入侵檢測的簡介

入侵檢測技術(shù)，是一種對計(jì)算機(jī)網(wǎng)絡(luò)的程序進(jìn)行入侵式的檢測先進(jìn)技術(shù)，它肩負(fù)著網(wǎng)絡(luò)安全中第二道防線的任務(wù)，起到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的作用。入侵檢測是通過對安全日志、行為、審計(jì)和其他可獲得的信息以及系統(tǒng)的關(guān)鍵信息的收集并作出分析，以此檢測出計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為和受攻擊的對象的一個(gè)工作過程。它實(shí)施保護(hù)工作的過程具體可分為：監(jiān)視、分析網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)系統(tǒng)活動(dòng)；網(wǎng)絡(luò)安全系統(tǒng)構(gòu)造和弱點(diǎn)的審查評估；認(rèn)定反映已知進(jìn)攻活動(dòng)并作出警示警告；網(wǎng)絡(luò)系統(tǒng)異常行為的統(tǒng)計(jì)和分析4個(gè)步驟。入侵檢測技術(shù)能夠同時(shí)兼?zhèn)鋵?shí)時(shí)監(jiān)控內(nèi)部攻擊、外部攻擊和錯(cuò)誤操作的任務(wù)，把對網(wǎng)絡(luò)系統(tǒng)的危害阻截在發(fā)生之前，并對網(wǎng)絡(luò)入侵作出響應(yīng)，是一種相對傳統(tǒng)的被動(dòng)靜態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)提出的一種積極動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)。

1.2 工作原理

入侵檢測系統(tǒng)相當(dāng)于一部典型的窺探設(shè)備，它的工作原理是在不用跨接多個(gè)物理網(wǎng)段也不用轉(zhuǎn)發(fā)流量的前提下，通過收集網(wǎng)絡(luò)上靜態(tài)的、被動(dòng)的相關(guān)數(shù)據(jù)報(bào)文，提取出所收集的數(shù)據(jù)報(bào)文的流量統(tǒng)計(jì)特征的相關(guān)數(shù)據(jù)與入侵檢測系統(tǒng)內(nèi)置的入侵?jǐn)?shù)據(jù)進(jìn)行智能化的匹配和分析，如果出現(xiàn)匹配耦合度高的數(shù)據(jù)報(bào)文流量，那個(gè)它就被認(rèn)定是入侵攻擊，網(wǎng)絡(luò)入侵檢測系統(tǒng)就會(huì)根據(jù)計(jì)算機(jī)系統(tǒng)所設(shè)定的閥值和相應(yīng)的配置激發(fā)報(bào)警并對認(rèn)定的入侵攻擊進(jìn)行一定的反擊。

2 入侵檢測技術(shù)網(wǎng)絡(luò)安全中的具體運(yùn)用

入侵檢測技術(shù)包括了聚類算法、數(shù)據(jù)挖掘技術(shù)和智能分布技術(shù)等幾個(gè)方面。入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的運(yùn)用，重點(diǎn)是這幾種檢測技術(shù)合理的運(yùn)用，具體如下。

2.1 聚類算法的運(yùn)用

入侵檢測技術(shù)當(dāng)中的聚類算法在網(wǎng)絡(luò)安全的運(yùn)用具有可以在脫離指導(dǎo)的情況下開展網(wǎng)絡(luò)異常檢測工作。可以將沒有標(biāo)記的數(shù)據(jù)的工作相似的數(shù)據(jù)歸到同一類中，并對網(wǎng)絡(luò)安全系統(tǒng)運(yùn)行中存在的異常的數(shù)據(jù)迅速高效地識別出來。運(yùn)用到網(wǎng)絡(luò)安全，大大提高了網(wǎng)絡(luò)運(yùn)行的可靠程度，使網(wǎng)絡(luò)安全的級別更上一個(gè)級別。在實(shí)際情況中，網(wǎng)絡(luò)中通常存在著種類比較多的數(shù)據(jù)，當(dāng)中還包括了大量的相似數(shù)據(jù)，這些數(shù)據(jù)如同定時(shí)炸彈般隱藏著極大的危險(xiǎn)，如不能及時(shí)發(fā)現(xiàn)并攔截處理，就會(huì)破壞網(wǎng)絡(luò)安全系統(tǒng)，而聚類算法的運(yùn)用就解決了這一問題，為網(wǎng)絡(luò)安全系統(tǒng)正常運(yùn)行提供了保障。

2.2 數(shù)據(jù)挖掘技術(shù)的運(yùn)用

數(shù)據(jù)挖掘技術(shù)，顧名思義就是對互聯(lián)網(wǎng)中的傳輸數(shù)據(jù)的挖掘和分析，從而找出數(shù)據(jù)中的錯(cuò)誤、不規(guī)范、異常等的情況，并適當(dāng)?shù)靥幚磉@些非正常的情況。數(shù)據(jù)挖掘技術(shù)在運(yùn)行速度方面占有絕對的優(yōu)勢，把它運(yùn)用到網(wǎng)絡(luò)安全工作中，這種優(yōu)勢能很好的體現(xiàn)出來出來，它運(yùn)用數(shù)據(jù)挖掘技術(shù)中的關(guān)聯(lián)算法和序列挖掘算法來提取網(wǎng)絡(luò)的行為模式，能夠準(zhǔn)確快速地識別網(wǎng)絡(luò)中非正常的、不規(guī)范的運(yùn)行程序；并且運(yùn)用分類算法進(jìn)行歸類和預(yù)測用戶網(wǎng)絡(luò)行為或特權(quán)程序系統(tǒng)的調(diào)用，此外還把聚類算法和數(shù)據(jù)挖掘技術(shù)結(jié)合起來，比較和計(jì)算出每次記錄之間的矢量距自動(dòng)分辨和歸類出用戶的登錄記錄、連接記錄，最后，對各分類出來的數(shù)據(jù)給予相應(yīng)的處理。

2.3 智能分布技術(shù)的運(yùn)用

智能分布技術(shù)是基于網(wǎng)絡(luò)擴(kuò)展性、智能性、無關(guān)性等相關(guān)特性而言的對網(wǎng)絡(luò)安全進(jìn)行檢測的技術(shù)。該技術(shù)的在網(wǎng)絡(luò)安全中的運(yùn)用，能夠把網(wǎng)絡(luò)特別是較龐大復(fù)雜的網(wǎng)絡(luò)環(huán)境劃分成幾個(gè)區(qū)域來進(jìn)行檢測，把多個(gè)檢測點(diǎn)設(shè)定在每一個(gè)區(qū)域中，在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)定一個(gè)管理點(diǎn)，對各區(qū)域的檢測點(diǎn)進(jìn)行檢測再集中管理，從而分析檢測出入侵的程序和異常的數(shù)據(jù)等。這樣不但能提高網(wǎng)絡(luò)安全系數(shù)，還可以確保對入侵程序快速準(zhǔn)確地定位，并及時(shí)采取有針對性的處理方法，極大程度地提高了網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行效率。

3 總結(jié)

隨著網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用的領(lǐng)域越來越廣泛，隨之而來出現(xiàn)的網(wǎng)絡(luò)安全問題種類也越來越多，危害程度越來越大，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)對網(wǎng)絡(luò)安全的作用效果逐漸降低甚至失效，入侵檢測技術(shù)的出現(xiàn)，挽救了這個(gè)局面，通過把聚類算法、數(shù)據(jù)挖掘技術(shù)、智能分布技術(shù)等入侵檢測技術(shù)相互配合運(yùn)用到網(wǎng)絡(luò)安全中，為網(wǎng)絡(luò)安全提供了第二道防線的保護(hù)，對入侵網(wǎng)絡(luò)的攻擊進(jìn)行快速有效的攔截和反擊，很大程度降低了入侵攻擊所帶來的傷害，大大提高了網(wǎng)絡(luò)安全的系數(shù)。是未來網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢。

參考文獻(xiàn)

[1]張正昊.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)措施[J].科技風(fēng)，2014（19）.

[2]隋新，劉瑩.入侵檢測技術(shù)的研究[J].科技通報(bào)，2014（11）.

[3]孫志寬.計(jì)算C網(wǎng)絡(luò)安全的現(xiàn)狀及對策研究[J].科技風(fēng)，2014（19）.

[4]周小燕.網(wǎng)絡(luò)入侵安全檢查實(shí)踐操作分析[J].無線互聯(lián)科技，2014（11）.

[5]季林鳳.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)探析[J].電腦知識與技術(shù)，2014（27）.

作者簡介

闕宏宇（1976-），男，四川省成都市人。軟件工程碩士。講師。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)。

梁波（1982-），男，四川省彭州市人。軟件工程碩士。講師。研究方向?yàn)檐浖_發(fā)、計(jì)算機(jī)網(wǎng)絡(luò)。

篇6

【關(guān)鍵詞】網(wǎng)絡(luò)安全 入侵檢測

一、現(xiàn)在網(wǎng)絡(luò)安全隱患

隨著計(jì)算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出，很多組織正在致力于提出更多的更強(qiáng)大的主動(dòng)策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，然而另一個(gè)更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢測正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系

統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。

二、入侵檢測的定義

入侵檢測是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點(diǎn)采集信息并分析信息，察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為，保證系統(tǒng)(網(wǎng)絡(luò))的安全性，完整性和可用性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

三、入侵檢測的系統(tǒng)功能構(gòu)成

一個(gè)入侵檢測系統(tǒng)的功能結(jié)構(gòu)如圖一所示，它至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。

入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進(jìn)行定位。

入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。

由于單個(gè)入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個(gè)檢測單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。

四、入侵檢測系統(tǒng)分類

入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

1.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實(shí)現(xiàn)數(shù)據(jù)提取。在internet中，局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)采用子網(wǎng)廣播的方式，任何一臺主機(jī)發(fā)送的數(shù)據(jù)包，都會(huì)在所經(jīng)過的子網(wǎng)中進(jìn)行廣播，也就是說，任何一臺主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下，主機(jī)的網(wǎng)卡對每一個(gè)到達(dá)的數(shù)據(jù)包進(jìn)行過濾，只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時(shí)候，對網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下，雖然可能不采用廣播的方式傳送報(bào)文，但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報(bào)文監(jiān)視功能。

2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能。

基于主機(jī)的入侵檢測系統(tǒng)可以有若干種實(shí)現(xiàn)方法：

檢測系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機(jī)日志的安全審計(jì)，通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為?；谥鳈C(jī)的入侵檢測系統(tǒng)具有檢測效率高，分析代價(jià)小，分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進(jìn)行進(jìn)一步分析。目前很多是基于主機(jī)日志分析的入侵檢測系統(tǒng)?；谥鳈C(jī)的入侵檢測系統(tǒng)存在的問題是：首先它在一定程度上依賴于系統(tǒng)的可靠性，它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置，然后才能提取入侵信息；即使進(jìn)行了正確的設(shè)置，對操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時(shí)地將系統(tǒng)日志抹去，從而不被發(fā)覺；并且主機(jī)的日志能夠提供的信息有限，有的入侵手段和途徑不會(huì)在日志中有所反映，日志系統(tǒng)對有的入侵行為不能做出正確的響應(yīng)，例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊，通過ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機(jī)，或是利用arp欺騙來偽裝成其他主機(jī)進(jìn)行通信，這些手段都不會(huì)被高層的日志記錄下來。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

五、入侵檢測技術(shù)的發(fā)展方向

近年對入侵檢測技術(shù)有幾個(gè)主要發(fā)展方向:

(1)分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的ids一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時(shí)不同的ids系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

(2)應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解，而目前的ids僅能檢測如web之類的通用協(xié)議，而不能處理如lotus notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護(hù)。

(3)智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對智能化的ids加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

參考文獻(xiàn)：

篇7

關(guān)鍵詞：計(jì)算機(jī)數(shù)據(jù)庫；入侵檢測技術(shù)；網(wǎng)絡(luò)安全

中圖分類號：TP309.2 文獻(xiàn)標(biāo)識碼：A

計(jì)算機(jī)數(shù)據(jù)庫普遍受到網(wǎng)絡(luò)與設(shè)備的威脅。計(jì)算機(jī)安全主要是指物理安全與信息安全（網(wǎng)絡(luò)安全），其中信息安全主要是指保護(hù)網(wǎng)絡(luò)信息的完整性、可用性、保密性。據(jù)調(diào)查數(shù)據(jù)表明，信息系統(tǒng)的整體安全方面，數(shù)據(jù)庫是最容易受到攻擊的部件。計(jì)算機(jī)數(shù)據(jù)庫主要受到計(jì)算機(jī)病毒或黑客的攻擊，其中與計(jì)算機(jī)病毒的種類相比較，黑客對計(jì)算機(jī)數(shù)據(jù)庫的攻擊方法更多、更致命。美國FBI調(diào)查數(shù)據(jù)顯示，網(wǎng)絡(luò)安全導(dǎo)致每年美國承受超出170億美元的經(jīng)濟(jì)損失，其中每天被黑客攻擊或病害感染的網(wǎng)頁達(dá)到15000個(gè)。據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的評估數(shù)據(jù)表明，2012年中國“僵尸”電腦數(shù)量已超過全球“僵尸”電腦總數(shù)的58%。由此可見，必須加強(qiáng)對計(jì)算機(jī)數(shù)據(jù)庫安全保護(hù)的研究。

1 計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的現(xiàn)狀問題

經(jīng)過20余年的發(fā)展，計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)已相當(dāng)成熟，但不斷出現(xiàn)的新需求及新情況勢必要求不斷推進(jìn)入侵檢測技術(shù)。目前主流入侵檢測系統(tǒng)包括基于主機(jī)的入侵檢測系統(tǒng)及基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)；主流入侵檢測方法包括誤用檢測及異常檢測，其中誤用檢測要求對異常行為進(jìn)行建模，把符合特征庫描述的行為視為攻擊；異常檢測要求對正常行為進(jìn)行建模，把不符合特征庫描述的行為視為攻擊?？傮w而言，計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)發(fā)展的現(xiàn)狀尚不能完全滿足系統(tǒng)安全的要求，同時(shí)仍存有一些問題亟待解決。

（1）計(jì)算機(jī)入侵檢測誤報(bào)漏報(bào)率高：數(shù)據(jù)庫信息主要由個(gè)人信息及企業(yè)信息組成，因此信息的安全性普遍受到社會(huì)個(gè)體及組織的廣泛關(guān)注，同時(shí)計(jì)算機(jī)入侵檢測技術(shù)的研發(fā)過程，研究人員對某些關(guān)鍵點(diǎn)設(shè)置的要求相當(dāng)高。但此種情況極易受到大量病毒或黑客的入侵，由此導(dǎo)致入侵檢測結(jié)果的準(zhǔn)確率大幅度下降，同時(shí)某些暫時(shí)提高入侵檢測結(jié)果準(zhǔn)確率的做法反過來亦會(huì)影響到數(shù)據(jù)庫安全。

（2）計(jì)算機(jī)入侵檢測的效率較低：任何數(shù)據(jù)入侵或反入侵皆需進(jìn)行大量的二進(jìn)制數(shù)據(jù)計(jì)算，以提高數(shù)據(jù)運(yùn)行的有效性。但龐大的計(jì)算勢必造成大量的時(shí)間及財(cái)力浪費(fèi)，由此阻礙著入侵檢測效率的提高，同時(shí)也與當(dāng)今網(wǎng)絡(luò)環(huán)境極不相稱。

（3）計(jì)算機(jī)入侵檢測技術(shù)的自我防御能力較弱：計(jì)算機(jī)入侵檢測技術(shù)發(fā)展尚不完善，加上設(shè)計(jì)人員的專業(yè)知識欠缺，因此勢必影響到計(jì)算機(jī)入侵檢測技術(shù)自我防御能力的提高。若入侵檢測技術(shù)被黑客或病毒入侵，有限的防御能力勢必難以完成入侵檢測，由此必然威脅到數(shù)據(jù)庫的安全。

（4）計(jì)算機(jī)入侵檢測技術(shù)的可擴(kuò)展性差：計(jì)算機(jī)入侵檢測技術(shù)無自動(dòng)更新功能，因此不能對新的異常行為或病毒進(jìn)行有效判別，進(jìn)而造成病毒肆意，甚至破壞數(shù)據(jù)庫的安全防線。

2 計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的發(fā)展方向

計(jì)算機(jī)入侵檢測系統(tǒng)具備網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)視及入侵檢測功能，其主要采用先進(jìn)的分布式架構(gòu)（表1）。入侵檢測系統(tǒng)包含2300多種規(guī)則，能夠借助智能分析與模式相結(jié)合的方法對網(wǎng)內(nèi)外傳輸?shù)乃袛?shù)據(jù)進(jìn)行實(shí)時(shí)捕獲，進(jìn)而實(shí)現(xiàn)對網(wǎng)絡(luò)領(lǐng)域存在的入侵行為或異?，F(xiàn)象進(jìn)行檢測，同時(shí)借助內(nèi)置的攻擊特征庫把相關(guān)事件錄入數(shù)據(jù)庫，以便為事后分析提供參考依據(jù)。此外，計(jì)算機(jī)入侵檢測系統(tǒng)是高效的數(shù)據(jù)采集技術(shù)，與內(nèi)容恢復(fù)、狀態(tài)協(xié)議分析、行為分析、異常分析、網(wǎng)絡(luò)審計(jì)等入侵分析技術(shù)具有非常好的兼容性，同時(shí)能夠檢測到網(wǎng)絡(luò)、端口探察、應(yīng)用層及底層活動(dòng)的掃描攻擊。

結(jié)合表1內(nèi)容及計(jì)算機(jī)入侵檢測技術(shù)存在的問題，本文認(rèn)為計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)應(yīng)堅(jiān)持“分布型、層次化、智能化檢測及反術(shù)測評標(biāo)準(zhǔn)化”的發(fā)展道路。

（1）分布型檢測。傳統(tǒng)的入侵檢測大多被局限到單一網(wǎng)絡(luò)結(jié)構(gòu)，主要完成單一網(wǎng)絡(luò)結(jié)構(gòu)的數(shù)據(jù)庫檢測，此種檢測方法根本沒有能力應(yīng)對大規(guī)模的異構(gòu)體系數(shù)據(jù)庫。此外，數(shù)據(jù)庫檢測體系間的協(xié)同性較弱。針對此類問題，最有效的辦法是采用分布式數(shù)據(jù)庫入侵檢測手段。

（2）層次化檢測。就檢測范圍而言，傳統(tǒng)的入侵檢測技術(shù)具有相當(dāng)大的局限性，尤其對某些高端數(shù)據(jù)庫系統(tǒng)，入侵檢測技術(shù)尚存在諸多盲點(diǎn)。目前多數(shù)服務(wù)器結(jié)構(gòu)系統(tǒng)皆需多層次的入侵檢測保護(hù)功能，由此保障網(wǎng)絡(luò)安全。針對此類問題，最有效的辦法是采用層次化的檢測方式，區(qū)別對待普通系統(tǒng)與高端數(shù)據(jù)庫系統(tǒng)，由此提高入侵檢測技術(shù)的作用力。

（3）智能化檢測。雖然目前使用的計(jì)算機(jī)入侵檢測技術(shù)已經(jīng)應(yīng)用到遺傳算法及神經(jīng)網(wǎng)絡(luò)等，但應(yīng)用水平尚處在初級階段或嘗試性階段，因此有必要把智能化入侵檢測列入專項(xiàng)課題進(jìn)行研究，由此提高計(jì)算機(jī)入侵檢測的自我適應(yīng)能力。

（4）應(yīng)用入侵檢測技術(shù)過程，用戶有必要不定期對技術(shù)系統(tǒng)進(jìn)行測評，其中測評的內(nèi)容應(yīng)涉及到資源占用比、檢測范圍、檢測可靠程度，同時(shí)充分利用測評數(shù)據(jù)對檢測系統(tǒng)實(shí)施評估，然后再結(jié)合評估情況對檢測系統(tǒng)進(jìn)行完善?？傮w而言，依托入侵檢測技術(shù)，計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)的安全性勢必大大增強(qiáng)，即入侵檢測系統(tǒng)通過化解計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)外部的攻擊及排除系統(tǒng)內(nèi)部的潛在威脅，進(jìn)而對計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)實(shí)施有效保護(hù)。

（5）計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的強(qiáng)化措施除采取分布型檢測、層次化檢測及智能化檢測外，筆者認(rèn)為創(chuàng)建新型系統(tǒng)模型、建立數(shù)據(jù)庫知識標(biāo)準(zhǔn)、減少入侵檢測的計(jì)算量等皆可加強(qiáng)計(jì)算機(jī)入侵檢測技術(shù)，其中優(yōu)化Apriori算法是一種由Apriori算法改進(jìn)而來的計(jì)算方法，其對減少入侵檢測的計(jì)算量至關(guān)重要，此外優(yōu)化Apriori算法的剪枝候選集功能是顯示入侵檢測計(jì)算量減少的主要工作。

3 結(jié)束語

綜上所述，入侵檢測技術(shù)是一種保障計(jì)算機(jī)數(shù)據(jù)庫免受黑客或病毒入侵的安全防護(hù)高新技術(shù)，其不僅能夠化解來自外界的攻擊（黑客），同時(shí)也能夠排查出內(nèi)部潛在的病毒，進(jìn)而實(shí)現(xiàn)對計(jì)算機(jī)數(shù)據(jù)庫的實(shí)時(shí)性保護(hù)。隨著網(wǎng)絡(luò)技術(shù)更新周期的縮短，網(wǎng)絡(luò)安全問題越來越引起社會(huì)的關(guān)注。數(shù)據(jù)庫是最容易受到黑客與病毒攻擊的部件，加上數(shù)據(jù)庫存儲(chǔ)有數(shù)以億計(jì)用戶的信息，因此必須采取措施確保計(jì)算機(jī)數(shù)據(jù)率的網(wǎng)絡(luò)安全。盡管入侵檢測技術(shù)的應(yīng)用已相當(dāng)成熟，但仍然存在諸多問題亟待解決，其中包括入侵檢測誤報(bào)漏報(bào)率高、入侵檢測的效率較低、入侵檢測技術(shù)的自我防御能力較弱及入侵檢測技術(shù)的可擴(kuò)展性差等?；诖?，本文提出計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)應(yīng)該堅(jiān)持“分布型、層次化、智能化檢測及反術(shù)測評標(biāo)準(zhǔn)化”的發(fā)展道路，由此提高網(wǎng)絡(luò)安全及維護(hù)社會(huì)的安定和諧。

參考文獻(xiàn)

[1] 秋瑜.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)分析研究[J].硅谷，2012，（6）：79-79.

[2] 王素香.計(jì)算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，（1）：101.

[3] 李媛媛.計(jì)算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)分析[J].中國信息化，2013，（14）：137-137.

[4] 肖大薇.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)分析研究[J].信息系統(tǒng)工程，2012，（4）：54-55.

[5] 王世軼.基于數(shù)據(jù)庫的入侵檢測技術(shù)分析[J].科技風(fēng)，2012，（14）：52.

[6] 高超，王麗君.數(shù)據(jù)挖掘技術(shù)在基于系統(tǒng)調(diào)用的入侵檢測中的應(yīng)用[J].鞍山科技大學(xué)學(xué)報(bào)，2006，29（1）：45-49.

篇8

【關(guān)鍵詞】計(jì)算機(jī)數(shù)據(jù)庫 入侵檢測 措施

當(dāng)今時(shí)代是信息技術(shù)與安全問題并行的時(shí)代，社會(huì)經(jīng)濟(jì)的高速發(fā)展必然伴隨著某些安全問題的發(fā)生，所以數(shù)據(jù)庫的安全已經(jīng)成為人民大眾和政府企業(yè)的工作保證。盡管當(dāng)下防火墻廣泛應(yīng)用，但是仍然不能保證可以完全抵御黑客的入侵，所以入侵檢測技術(shù)成為了新時(shí)代下社會(huì)關(guān)注的重點(diǎn)，入侵檢測技術(shù)不僅能夠解決數(shù)據(jù)庫面臨的種種威脅，更能及時(shí)發(fā)現(xiàn)入侵對象并進(jìn)行及時(shí)的修補(bǔ)，但是在實(shí)踐過程中也出現(xiàn)了這樣或那樣的問題，下面將進(jìn)行詳盡的論述。

1 入侵檢測

入侵檢測是一種對入侵行為進(jìn)行檢測、識別和回應(yīng)的一種安全技術(shù)。主要通過分析檢測計(jì)算機(jī)系統(tǒng)、安全日志、電腦數(shù)據(jù)及網(wǎng)絡(luò)行為等方式來判斷是否遭到入侵，從而更好的對計(jì)算機(jī)進(jìn)行全方位的安全保護(hù)。入侵檢測的主要行為有以下五點(diǎn)：一是對用戶行為進(jìn)行監(jiān)察；二是對計(jì)算機(jī)的運(yùn)行系統(tǒng)進(jìn)行審查；三是對入侵行為進(jìn)行識別并發(fā)出警報(bào)；四是對異常行為進(jìn)行統(tǒng)計(jì)和記錄，并進(jìn)而評估計(jì)算機(jī)系統(tǒng)的危險(xiǎn)系數(shù)；五是對計(jì)算機(jī)系統(tǒng)的監(jiān)察情況進(jìn)行跟蹤管理。當(dāng)前入侵檢測技術(shù)雖然已經(jīng)在多個(gè)方面得到了效果良好的實(shí)踐效果，但是仍然有很多不足之處，下面主要概述一下計(jì)算機(jī)數(shù)據(jù)庫檢測系統(tǒng)在應(yīng)用中出現(xiàn)的問題。

2 常見問題

我國計(jì)算機(jī)數(shù)據(jù)庫一般采用防火墻安全模式，加上入侵檢測技術(shù)的發(fā)展起步較晚，因而在很多方面還不成熟，在實(shí)踐過程中主要發(fā)現(xiàn)了以下問題。

2.1 防御能力偏弱

由于入侵檢測技術(shù)尚不成熟，所以從事數(shù)據(jù)庫入侵檢測技術(shù)的技術(shù)團(tuán)隊(duì)也沒有形成很好的規(guī)模，而且資金投入的匱乏性也使得人們對入侵檢測技術(shù)工作的積極性不高。就當(dāng)前我國部分發(fā)展較好的地區(qū)而言，數(shù)據(jù)庫的入侵檢測技術(shù)相對落后，且技術(shù)人員自身也缺乏專業(yè)的解決問題的能力，對于實(shí)際操作中臨時(shí)出現(xiàn)的新問題無法做到很好的應(yīng)對，這種遇到黑客和病毒入侵時(shí)無法及時(shí)應(yīng)對的現(xiàn)狀容易導(dǎo)致數(shù)據(jù)庫系統(tǒng)的癱瘓，給企業(yè)和個(gè)人造成數(shù)據(jù)被盜走或損毀的損失，嚴(yán)重者也可能威脅到國家相關(guān)部門的安全防御。

2.2 錯(cuò)誤率高

入侵檢測技術(shù)的最直接目的就是保護(hù)計(jì)算機(jī)數(shù)據(jù)庫的隱私，避免數(shù)據(jù)的流失和泄露，因而在對檢測關(guān)卡的要求非常嚴(yán)格。如此一來，在入侵檢測技術(shù)實(shí)際的運(yùn)行過程中可能會(huì)出現(xiàn)很多系統(tǒng)性的檢測錯(cuò)誤，在各種系統(tǒng)性錯(cuò)誤上報(bào)的同時(shí)可能潛伏著真正的病毒，但是系統(tǒng)很有可能一時(shí)間承受不了龐大的信息量而出現(xiàn)漏檢的情況，而且對于一些應(yīng)用軟件的誤檢也會(huì)給工作人員帶來時(shí)間與精力上的雙重浪費(fèi)，嚴(yán)重影響著檢測工作的效率，計(jì)算機(jī)數(shù)據(jù)庫的安全也得不到保障。

2.3 效率低下

前面講到，入侵檢測技術(shù)的目的主要是對于病毒進(jìn)行識別和查殺，而檢測技術(shù)的關(guān)鍵點(diǎn)就在于速度，因而高效率的檢測是入侵檢測技術(shù)的重中之重。由于計(jì)算機(jī)數(shù)據(jù)庫的信息量過大且運(yùn)行程序較多，所以入侵檢測技術(shù)整個(gè)運(yùn)行過程可以說是比較復(fù)雜，一方面造成了檢測工作的前期成本較高，另一方面也容易造成漏檢、誤檢等錯(cuò)誤行為。除此之外，我國當(dāng)前的檢測技術(shù)發(fā)展在很多方面都存在著欠缺，因而更新的速度也較慢，這也會(huì)對檢測系統(tǒng)造成不利影響，在一定程度上滯后了入侵檢測技術(shù)的發(fā)展。

3 優(yōu)化措施

當(dāng)前數(shù)據(jù)庫已經(jīng)成為了各類企業(yè)和政府有關(guān)部門的安全保障，只有針對這些數(shù)據(jù)庫系統(tǒng)采用必要的保護(hù)措施，才能確保計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的可靠性、安全性和保密性。

3.1 優(yōu)化算法

這種算法是基于大型項(xiàng)目的調(diào)查而應(yīng)用的一種算法，其主要目的是可以大幅度的消減系統(tǒng)運(yùn)行中的候選項(xiàng)目，在數(shù)據(jù)庫檢測技術(shù)中可以產(chǎn)生很好的實(shí)踐效果。該種算法在生成候選項(xiàng)時(shí)會(huì)產(chǎn)生很多錯(cuò)誤的項(xiàng)目集合的候選集，而且在連接程序中相同的項(xiàng)目會(huì)有很大程度的重復(fù)性，所以很容易導(dǎo)致檢測技術(shù)利用率相對降低。所以在今后的實(shí)踐中可以首先對項(xiàng)目數(shù)量進(jìn)行優(yōu)化和減少，尤其是待選項(xiàng)目的總量，從整體上減少工作量；其次對數(shù)據(jù)庫進(jìn)行合理的分析檢查，把數(shù)據(jù)庫的準(zhǔn)備工作做好盡量做到一次做完編碼，提高算法的效率。

3.2 建立合理模型

入侵檢測系統(tǒng)的工作原理主要是通過系統(tǒng)檢測-判斷行為-入侵警報(bào)這三個(gè)環(huán)節(jié)來達(dá)到保證計(jì)算機(jī)數(shù)據(jù)庫安全的目的。系統(tǒng)主要由數(shù)據(jù)庫借口零部件、數(shù)據(jù)手機(jī)模塊、數(shù)據(jù)分析處理模塊、數(shù)據(jù)挖掘模塊及入侵檢測模塊等五個(gè)主要部分組成，為了使各個(gè)模塊真正的發(fā)揮出作用，需要根據(jù)人們所需重新設(shè)計(jì)出最新的數(shù)據(jù)庫模型，具體設(shè)計(jì)如下：

（1）數(shù)據(jù)收集。系統(tǒng)要在入侵檢測的過程中對系統(tǒng)不同的數(shù)據(jù)進(jìn)行收集和記錄，做好前期的準(zhǔn)備工作。

（2）分析挖掘。系統(tǒng)要按照設(shè)定好的要求對采集到的數(shù)據(jù)進(jìn)行合理挖掘，建立好數(shù)據(jù)庫。

（3）模式調(diào)整。要求入侵檢測技術(shù)要可以根據(jù)系統(tǒng)設(shè)定來將不符合規(guī)定的數(shù)據(jù)要求做好技術(shù)準(zhǔn)確的處理。

（4）提取特征。要求系統(tǒng)可以根據(jù)用戶的行為數(shù)據(jù)判斷出用戶的行為特征，并對不同的用戶行為特征進(jìn)行分類匯總。

（5）入侵檢測。這里主要要求系統(tǒng)應(yīng)用相關(guān)算法，從數(shù)據(jù)庫里提取相關(guān)的數(shù)據(jù)信息并輔以相關(guān)用戶行為特征，根據(jù)檢測結(jié)果來采取相對應(yīng)的措施。

4 總結(jié)

根據(jù)計(jì)算機(jī)數(shù)據(jù)庫入侵技術(shù)檢測的現(xiàn)狀，其今后的發(fā)展趨勢主要向智能化發(fā)展。數(shù)據(jù)庫的安全性對于政府部門、企業(yè)和個(gè)人都有著非常重要的實(shí)際意義，本文主要分析了當(dāng)前入侵檢測系統(tǒng)中出現(xiàn)的問題來讓讀者明確計(jì)算機(jī)數(shù)據(jù)庫的重要性，并對數(shù)據(jù)庫入侵檢測技術(shù)的未來發(fā)展提出了自身的建議措施，最大程度的提升入侵檢測技術(shù)對計(jì)算機(jī)數(shù)據(jù)庫的安全防護(hù)作用。

參考文獻(xiàn)

篇9

關(guān)鍵詞入侵檢測異常檢測誤用檢測

在網(wǎng)絡(luò)技術(shù)日新月異的今天，論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而，近年來，網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，以防范外對內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時(shí)無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。畢業(yè)論文而這一點(diǎn)，對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過對網(wǎng)絡(luò)的監(jiān)測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測

2．1入侵檢測

入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí)，收集有關(guān)入侵的技術(shù)資料，用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今，英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測及攻擊行為檢測，并采取相應(yīng)的防護(hù)手段。例如，實(shí)時(shí)檢測通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制；攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu)，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，一方面擴(kuò)大檢測范圍，另一方面通過多個(gè)采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇，閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告，閾值太大可能漏報(bào)一些入侵事件。

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結(jié)根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3．1異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計(jì)異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機(jī)器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個(gè)方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大，那漏警率會(huì)很高；閾值設(shè)定的過小，則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見，異常檢測技術(shù)難點(diǎn)是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計(jì)算量很大，對系統(tǒng)的處理性能要求很高。

3．2誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，留學(xué)生論文對已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。

誤用檢測是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。

3．2．1不能檢測未知的入侵行為

由于其檢測機(jī)理是對已知的入侵方法進(jìn)行模式提取，對于未知的入侵方法就不能進(jìn)行有效的檢測。也就是說漏警率比較高。

3．2．2與系統(tǒng)的相關(guān)性很強(qiáng)

對于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫。另外，誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。

目前，由于誤用檢測技術(shù)比較成熟，多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過，為了增強(qiáng)檢測功能，不少產(chǎn)品也加入了異常檢測的方法。

4入侵檢測的發(fā)展方向

隨著信息系統(tǒng)對一個(gè)國家的社會(huì)生產(chǎn)與國民經(jīng)濟(jì)的影響越來越大，再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化，信息戰(zhàn)已逐步被各個(gè)國家重視。近年來，入侵檢測有如下幾個(gè)主要發(fā)展方向：

4．1分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足，再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題，需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

4．2應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議，而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用，也需要應(yīng)用層的入侵檢測保護(hù)。

4．3智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進(jìn)一步的研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

4．4入侵檢測的評測方法

用戶需對眾多的IDS系統(tǒng)進(jìn)行評價(jià)，評價(jià)指標(biāo)包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性，從而設(shè)計(jì)出通用的入侵檢測測試與評估方法與平臺，實(shí)現(xiàn)對多種IDS的檢測。

4．5全面的安全防御方案

結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

l吳新民．兩種典型的入侵檢測方法研究．計(jì)算機(jī)工程與應(yīng)用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測系統(tǒng)模型的比較．計(jì)算機(jī)應(yīng)用，2001；21(6)：29～31

3李渙洲．網(wǎng)絡(luò)安全與入侵檢測技術(shù)．四川師范大學(xué)學(xué)報(bào)．2001；24(3)：426—428

4張慧敏，何軍，黃厚寬．入侵檢測系統(tǒng)．計(jì)算機(jī)應(yīng)用研究，2001；18(9)：38—4l

篇10

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展其廣泛應(yīng)用于我國各項(xiàng)社會(huì)服務(wù)、經(jīng)濟(jì)金融、政治軍事、教育國防事業(yè)中，令企事業(yè)單位生產(chǎn)運(yùn)營效率全面提升，可以說計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)真正給人們的生活創(chuàng)設(shè)了便利，構(gòu)建了共享化、高效化、現(xiàn)代化的社會(huì)發(fā)展環(huán)境。同時(shí)網(wǎng)絡(luò)系統(tǒng)由于自身建設(shè)、程序設(shè)計(jì)、操作失誤等因素不可避免的包含許多病毒或漏洞，給黑客入侵者以可乘之機(jī)，并給重要數(shù)據(jù)信息的安全引入了諸多不可預(yù)測的復(fù)雜風(fēng)險(xiǎn)，動(dòng)輒令企事業(yè)單位機(jī)密文件丟失、個(gè)人信息被不良竊取，造成了嚴(yán)重的經(jīng)濟(jì)損失。

1 計(jì)算機(jī)網(wǎng)絡(luò)常見入侵方式

針對計(jì)算機(jī)網(wǎng)絡(luò)的入侵主要指應(yīng)用相應(yīng)計(jì)算機(jī)程序調(diào)試技巧、編寫技巧實(shí)現(xiàn)對未授權(quán)文件或網(wǎng)絡(luò)的非法訪問，并入侵至網(wǎng)絡(luò)中的不良行為。當(dāng)前常見的計(jì)算機(jī)網(wǎng)絡(luò)入侵包括病毒攻擊、身份攻擊、拒絕服務(wù)、防火墻攻擊、網(wǎng)絡(luò)欺騙、木馬攻擊、后門入侵、惡意程序攻擊、入侵撥號程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復(fù)制特性進(jìn)行系統(tǒng)資源的破壞、侵襲，對其數(shù)據(jù)完整性進(jìn)行不良破壞或竊取、令系統(tǒng)拒絕服務(wù)，該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網(wǎng)絡(luò)服務(wù)對用戶身份的確認(rèn)進(jìn)而通過竊取、欺騙手段對合法用戶身份進(jìn)行冒充以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊目標(biāo)，該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式，例如掃描賬戶、ping、掃描漏洞、端口與嗅探網(wǎng)絡(luò)方式進(jìn)而對系統(tǒng)漏洞、服務(wù)、權(quán)限進(jìn)行探測，采用工具與公開協(xié)議對網(wǎng)絡(luò)中各主機(jī)存儲(chǔ)的有用信息進(jìn)行獲取與收集，并捕捉到其存在的漏洞，進(jìn)而為后續(xù)攻擊做準(zhǔn)備。針對防火墻進(jìn)行攻擊具有一定難度，然而一旦攻擊得手將造成網(wǎng)絡(luò)系統(tǒng)的崩潰、癱瘓，令用戶蒙受較大損失。拒絕服務(wù)攻擊主體將一定數(shù)量與序列的報(bào)文傳送至網(wǎng)絡(luò)中令大量的恢復(fù)要求信息運(yùn)行充斥于服務(wù)器中，導(dǎo)致網(wǎng)絡(luò)帶寬與系統(tǒng)資源被不良消耗，進(jìn)而令其無法正常的服務(wù)運(yùn)行、甚至不勝負(fù)荷而引發(fā)系統(tǒng)死機(jī)、癱瘓現(xiàn)象。網(wǎng)絡(luò)欺騙主要通過對電子郵件、網(wǎng)頁的偽造誘導(dǎo)用戶錄入關(guān)鍵隱私信息，例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進(jìn)而實(shí)現(xiàn)竊取入侵目標(biāo)。對撥號程序的攻擊通過自動(dòng)撥號進(jìn)行調(diào)制解調(diào)器連接通道的搜尋，以實(shí)現(xiàn)入侵目標(biāo)。邏輯炸彈則是計(jì)算機(jī)軟件中嵌入的一類指令，可通過觸發(fā)進(jìn)而實(shí)現(xiàn)惡意的系統(tǒng)操作。

2 入侵檢測技術(shù)內(nèi)涵

入侵檢測技術(shù)通過對安全日志、人們行為與數(shù)據(jù)的審計(jì)、可獲取信息展開操作進(jìn)而檢測到企圖闖入系統(tǒng)的信息，包含檢測、威懾、評估損失狀況、預(yù)測攻擊與支持等。該技術(shù)可以說是防火墻系統(tǒng)技術(shù)的良好補(bǔ)充，可有效輔助系統(tǒng)強(qiáng)化其應(yīng)對異常狀況、非授權(quán)、入侵行為能力，通過實(shí)時(shí)檢測提供對外部、內(nèi)部攻擊與誤操作的動(dòng)態(tài)實(shí)時(shí)保護(hù)，是一種安全有效的防護(hù)策略技術(shù)，入侵檢測硬件與軟件的完善結(jié)合便構(gòu)成了入侵檢測系統(tǒng)。合理應(yīng)用該技術(shù)可令不良入侵攻擊行為在危害系統(tǒng)之前便被準(zhǔn)確的檢測到，進(jìn)而利用防護(hù)與報(bào)警系統(tǒng)將入侵攻擊驅(qū)逐，降低其造成的不良損失。當(dāng)系統(tǒng)被攻擊入侵后我們則應(yīng)通過對入侵信息的全面收集構(gòu)建防范知識系統(tǒng)，進(jìn)而提升網(wǎng)絡(luò)系統(tǒng)綜合防范能效。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全中科學(xué)應(yīng)用入侵檢測技術(shù)

入侵檢測技術(shù)主要通過對維護(hù)網(wǎng)絡(luò)安全、分析、監(jiān)視系統(tǒng)與用戶活動(dòng)、審計(jì)系統(tǒng)弱點(diǎn)與構(gòu)造、對已知進(jìn)攻模式活動(dòng)進(jìn)行反應(yīng)識別并報(bào)備、分析統(tǒng)計(jì)異常行為、對數(shù)據(jù)文件與重要系統(tǒng)完整性進(jìn)行評估、跟蹤審計(jì)操作系統(tǒng)實(shí)施管理、識別違反安全的活動(dòng)等行為進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠安全。一般來講網(wǎng)絡(luò)檢測入侵系統(tǒng)包含多層次體系結(jié)構(gòu)，即、控制與管理層等，控制層承擔(dān)由獲取收集信息職能，并對所受攻擊事項(xiàng)進(jìn)行顯示，進(jìn)而實(shí)現(xiàn)對的管理與配置。承擔(dān)對網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)視職能，并將檢測的數(shù)據(jù)信息、攻擊行為發(fā)送至管理層。管理器承擔(dān)對各類報(bào)警與日志的管理，以及對檢測到的攻擊信息與安全信息進(jìn)行顯示，響應(yīng)攻擊警告與配置信息，對控制臺的各類命令進(jìn)行有效執(zhí)行，并令由的警告攻擊信息傳輸至控制臺，最終完成了整體入侵檢測過程。依據(jù)該過程我們制定科學(xué)的入侵檢測技術(shù)應(yīng)用策略。

3.1收集信息策略

應(yīng)用入侵檢測技術(shù)的首要關(guān)鍵因素在于數(shù)據(jù)，我們可將檢測數(shù)據(jù)源分為網(wǎng)絡(luò)、系統(tǒng)日志、文件與目錄中不期望更改事項(xiàng)、執(zhí)行程序中不期望各項(xiàng)行為、入侵的物理形式信息等。在應(yīng)用進(jìn)程中對信息的收集應(yīng)位于每一網(wǎng)段之中科學(xué)部署至少一個(gè)IDS，依據(jù)相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征，采集數(shù)據(jù)部分由多樣連接形式構(gòu)成，倘若位于網(wǎng)段中應(yīng)用交換集線器連接，其核心交換機(jī)芯片一般會(huì)設(shè)有調(diào)試端口，我們可連接IDS系統(tǒng)于該端口之中。同時(shí)設(shè)置入侵檢測系統(tǒng)于防火墻或交換機(jī)內(nèi)部的數(shù)據(jù)流出口或入口，進(jìn)而獲取所有核心關(guān)鍵數(shù)據(jù)。對于網(wǎng)絡(luò)系統(tǒng)中不同類別的信息關(guān)鍵點(diǎn)收集我們不僅應(yīng)依據(jù)檢測對象擴(kuò)充檢測范疇、對網(wǎng)絡(luò)包截取進(jìn)行設(shè)置，同時(shí)還需要應(yīng)對薄弱環(huán)節(jié)，即來源于統(tǒng)一對象的各項(xiàng)信息可能無法發(fā)掘疑點(diǎn)，因而需要我們在收集入侵信息時(shí)，應(yīng)對幾個(gè)來源對象信息包含的不一致性展開重點(diǎn)分析，令其作為對可疑、入侵行為科學(xué)判斷的有效標(biāo)識。對于整體計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)來講，入侵行為相對有限，因此對各類少數(shù)的數(shù)據(jù)異常，我們可令其孤立，進(jìn)而構(gòu)建而成數(shù)據(jù)群展開集中性處理，強(qiáng)化分析入侵行為的針對性。

3.2分析檢測入侵信息

完成收集的信息我們可利用異常分析發(fā)現(xiàn)與匹配模式進(jìn)行綜合數(shù)據(jù)分析，進(jìn)而發(fā)掘與安全策略違背的行為，將其合理發(fā)送至管理器。實(shí)踐應(yīng)用中我們應(yīng)對各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議進(jìn)行清醒深刻認(rèn)識，遵循制定的安全策略與規(guī)則，利用異常檢測與濫用檢測模型進(jìn)行分析過程模擬，合理確認(rèn)識別異常與特征攻擊行為，最終令分析結(jié)構(gòu)構(gòu)建成為報(bào)警信息并發(fā)送至管理控制中心。對于TCP/IP協(xié)議網(wǎng)絡(luò)，我們還可采用探測引擎技術(shù)，應(yīng)用旁路偵聽對網(wǎng)絡(luò)流經(jīng)的所有數(shù)據(jù)包進(jìn)行動(dòng)態(tài)監(jiān)視，并依據(jù)用戶定義相關(guān)策略展開檢測，有效識別各類網(wǎng)絡(luò)事件并告知控制中心，令其進(jìn)行定位與報(bào)警顯示。

3.3響應(yīng)入侵信息

針對入侵信息我們應(yīng)作出準(zhǔn)確反應(yīng)，基于數(shù)據(jù)分析基礎(chǔ)檢測本地網(wǎng)段，令數(shù)據(jù)包中隱藏的惡意入侵準(zhǔn)確發(fā)掘出來，并及時(shí)作出響應(yīng)。該環(huán)節(jié)涵蓋告警網(wǎng)絡(luò)引擎、通知控制臺、發(fā)送郵件于安全管理人員、對實(shí)時(shí)會(huì)話進(jìn)行查看并通報(bào)制控制臺，對現(xiàn)場事件如實(shí)記錄日志，并采取相應(yīng)安全行為進(jìn)行網(wǎng)絡(luò)配置的合理調(diào)整、終止不良入侵，對特定用戶相應(yīng)程序進(jìn)行合理執(zhí)行。另外我們可促進(jìn)防火墻與入侵檢測技術(shù)的優(yōu)勢結(jié)合應(yīng)用，創(chuàng)設(shè)兩者的協(xié)同模型及安全網(wǎng)絡(luò)防護(hù)體系。令兩者共同開放接口并依據(jù)固定協(xié)議展開通信，實(shí)現(xiàn)對端口進(jìn)行約定。防火墻應(yīng)用過濾機(jī)制對流經(jīng)數(shù)據(jù)包展開解析并令其同事先完成定義的規(guī)則展開對比，進(jìn)而令非授信數(shù)據(jù)包準(zhǔn)確過濾。對于繞過防火墻的數(shù)據(jù)包我們可利用入侵檢測技術(shù)依據(jù)一致特征規(guī)則集進(jìn)行網(wǎng)絡(luò)攻擊檢測并做出及時(shí)響應(yīng)，確保對各類入侵攻擊的有效防御。

4結(jié)論

總之，基于網(wǎng)絡(luò)入侵不良影響我們只有主力研究如何有效防范網(wǎng)絡(luò)入侵，科學(xué)檢查、預(yù)測攻擊行為，基于入侵檢測思想進(jìn)行實(shí)時(shí)動(dòng)態(tài)監(jiān)控，才能防患于未然令攻擊影響消失在萌芽狀態(tài)，進(jìn)一步阻礙不良攻擊事件的發(fā)生及擴(kuò)大，進(jìn)而真正創(chuàng)設(shè)優(yōu)質(zhì)、高效可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境。

參考文獻(xiàn)