您好, 访客   登录/注册

计算机网络入侵检测技术分析

来源:用户上传      作者: 张婧

  摘要:随着科学技术的飞速发展,网络在给我们带来极大方便的同时,也带来了一些安全上的隐患。一些安全保护措施也随之产生,比如防火墙、数据加密技术等,现在又出现了一种新型安全技术保障――入侵检测技术。该技术可以对网络资源以及计算机的恶意使用方式作出识别和响应。该文从该技术的定义、功能以及使用检测的方法等多方面对网络入侵检测技术进行介绍,继而根据我国当前的网络使用现状来分析当前应用的各种检测方式,最后再对于此技术的防御性和未来发展趋势给予了总结,希望能够对我国网络安全产生积极的影响。
  关键词:入侵检测;计算机网络;发展方向
  中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)03-0582-02
  Computer Network Intrusion Detection Technology Analysis
  ZHANG Jing
  (Taiyuan University of Technology, Taiyuan 030024, China)
  Abstract: Along with the rapid development of science and technology, network has brought us great convenience, it also brings some safety concerns. Some safety protection measures are also produced, such as firewall, data encryption technology, and now there is a new se? curity technology -- intrusion detection technology. The technology for cyber source and computer malicious use make identification and response. This article from the definition of technology, features and use of detecting method and other aspects of network intrusion detec? tion technique are introduced, then according to our country current network status to an analysis of the current application of various de? tection methods, and finally for this technology and the future development trend is given a summary, we hope to be able to network secu? rity in China have a positive effect.
  Key words: intrusion detection; computer network; development direction
  当前计算机以及网络的大范围使用给我们的生活带来了极大的方便,但是随着网络的发展,网上黑客以每年10倍的增长速度加大网络攻击活动。因此,计算机网络和其他一切信息设施的安全保护在如今已经成为了我们急需解决的重要问题。
  防火墙是目前我国的一种非常重要的安全保护方式,它是对于一些网络的非法访问产生控制作用,能够很好的限制通过的数据流,从而使得内部网的拓扑结构更好的屏蔽掉,其二也要对外部的危险站点进行屏蔽,防止外部的非法访问现象。可是因为性能受到了非常大的限制,因此在很大程度上防火墙不能够很好的提供检测,为了能够有效补救防火墙在此方面的不足,当前我国已经适应了入侵检测IDS技术。入侵检测对防火墙功能进行了合理补充,是在通过防火墙之后的第二道对安全进行检测的关卡。
   1入侵检测定义
  对入侵检测的定义为,它在网络的关键处进行信息的采集以及分析工作,观察在网络中有无违法的安全策略行为存在,对网络的可用性、完整性以及安全性给予保证。入侵检测的信息采集是在网络系统当中的若干关键点下进行的,此外还需要很好的对这些信息进行分析,明确是否真正存在没有安全策略工作的现象以及是否被攻击的现象存在。
   2入侵检测必要性
  在网络连接高速发展的当今社会,尤其是处于Internet的大范围开放并且金融领域进行网络接入,系统遭到入侵攻击的可能系数越来越高,这些危险都是对操作系统进行挖掘并且针对服务程序的缺陷以及弱点进行攻击存在的,安全的系统要满足用户对系统可用性、完整性以及保密性等最基本的要求。所以入侵检测技术的存在是非常必要的,它不但对已知的入侵行为具有较高的发现能力,还对未知的入侵行为同样有非常高的发现力,在对入侵手段进行了大量研究之后,我们可以更加及时的对系统相应策略进行有效调整,极大地增加了系统安全性。
   3入侵检测步骤分析
  我们可以说,入侵检测为网络安全很好的提供了实时监测,并且能够依据检测结果提出相关的防护手段。而针对攻击性的行为检测则非常容易被发现,可以对于已经完成安检的嫌疑者,更需要对信息系统安全进行检测。步骤主要可以分为以下几个方面:
  3.1收集状态、行为信息
  入侵检测常常使用分布式结构,在网络系统的不同关键点进行信息的收集工作,不但扩大了检测的范围,同时还能够对各种采集点信息有效的分析,从而对是否存在入侵行为进行很好的判断。
  入侵检测使用的信息常常取自下面的4方面:物理形式入侵信息;在程序执行过程中出现的不期望的行为;存在于目录或者文件中的不希望出现的改动;来自系统或者网络的日志。
  3.2分析采集的信息
  一般来讲,我们平时应用的分析方法主要有三种,分别为:完整性分析、统计分析、模式匹配。
  完整性分析一般是对于被关注的对象和文件是否被改动进行检测,这些包括了目录和文件属性。应用这种方法能够很好的防范特洛伊木马的攻击作用。
  统计分析的方法是为系统的对象建立统计描述,对使用的测量属性统计。这些测量的平均值会与网络行为比较,假如发现了观察值超过正常值,那么就可能会存在入侵行为。在阈值的选择上,此种方法是没有太大优点的,阈值太大可能对部分入侵事件进行漏报,太小的话则可能有错误的入侵报告产生。
  模式匹配是将收集到的信息及其系统误用模式进行对比,从而更好及时的发现安全问题。
   4入侵检测分类及其所存在的问题
  由于检测方法存在着区别,所以入侵检测被分成了异常入侵检测以及误用入侵检测两种。
  4.1异常检测
  异常检测又可以称之为行为检测。它检测的前提是:将全部的入侵行为都假设存在异常,系统的“正常”行为或第一用户行为建立为特征轮廓。然后将此时的用户或者系统行为有无不正常行为的存在进行是否有入侵发生的判断工作。这种方法对有没有具体行为的表现没有依赖性,它属于直接进行检测的方法。
  通过对于以上内容分析,在异常检测技术当中有着很多技术上的难点和问题,比如对特征轮廓的更新及其特征量的选取。经过了这些因素的影响,导致异常检测具备着较高的虚警率,可是对未知行为入侵却存在着较高的检测率。此外,因为用户轮廓特征更新需要非常多的计算,因此系统需要具备较高的处理能力。
  4.2误用检测
  我们又将这种方法叫做知识检测。它的检测前提为:设置所有具备嫌疑的入侵行为全部能够被识别出来,且能够很好的表现。首先,将已经知道的攻击方式签名,再依据提前设置好的签名判断是否真正出现了攻击签名,从而判断出是否发生攻击入侵行为。
  此类常用法有:根据键盘监控误用检测法、条件概率检测法、状态迁移检测法等。攻击签名是否正确是误用检测能否成功的关键问题。
  利用此种方式可以很好将信息与已知攻击签名对比,将对安全产生威胁的行为很好的检测出来。因为只是单纯的对于数据收集,因此系统负担很小,且此种方法与病毒检测系统较为相似,因此它的准确率非常高。但是这种方法也存在着很大的问题,例如对先前不知的入侵行为不可以检测,因为对于不同的操作系统有着不同的攻击方式,所以很难将模式库统一起来。
   5入侵检测出现的诸多问题及其发展趋势分析
  5.1问题分析
  1)从目前的形势来看,入侵检测系统的检测速度要明显小于网络的传输速度,这样就使得漏报率非常高,甚至出现了误报率。
  2)其他网络安全产品与入侵检测产品很多都结合在了一起,在工作的过程中能够很好的做到信息交换,在协作过程中能够及时发现攻击行为并将其很好的阻止。
  3)因为属于网络性质的入侵检测系统对于加密保护及其交换网络无法检测,且它自身的构建也经常受到攻击。4)存在于检测系统内的体系结构问题。
  5.2发展方向
  一般来讲,因为信息系统对国民经济以及社会生产的影响作用越来越大,而且目前攻击者的手段和工具也正在向着复杂化发展,各个国家之间的战争也逐步向信息方面战争的趋势发展。主要有如下几点入侵检测方式:
  5.2.1通用和分布式入侵检测架构
  因为入侵检测系统一直都单纯的限制在了主机架构上,也有一些是在网络上,使得大规模监测存在着非常大的缺陷,且对于不同的网络入侵检测系统无法有效的协同工作,基于出现的这些问题,有关部门使用了通用和分布式入侵检测架构。
  5.2.2应用层入侵检测
  一些入侵语义在应用层面上非常容易被人们理解,可是目前的IDS只能对Web之类的协议有很好的检测,对Lotus Notes等系统无法进行有效处理。一些基于客服结构、中间技术和对象技术的应用一定要在应用层面上才能够得到入侵检测保护的。
  5.2.3职能入侵检测
  目前网络入侵的方式变得逐步趋向多样化,虽然目前出现了一些诸如遗传算法、智能体等技术的使用,但是这些都是尝试性工作,我们要对IDS的智能化做更深层次的分析,从而真正解决问题。
  5.2.4入侵检测评测法
  全部用户都应该对于IDS系统评价,一般的评价指标为系统的监测范围、资源占用、系统自身可靠性等,之后设计出满足广大用户的入侵检测平台,完成对于各种IDS的检测工作。
  5.2.5建立健全安全防范措施
  根据安全风险管理方式对网络进行安全处理,我们将网络安全的各项工作看成一个统一的整体,通过病毒防护、网络结构、加密通道、入侵检测等进行系统、全面的评估,从而真正做到安全性。
   6小结
  依据当前的计算机安全状态,要想对系统的安全现状进行根本的完善,一定要对入侵检测的技术进行发展,如今它已经成为了在计算机安全领域当中的一个非常核心的技术。作为具备主动性安全防护技术的网络入侵技术,对于内外部攻击能够做到很好的实时保护,所以IDS技术必定会得到大家的高度重视。所以我们当前要加大对网络入侵检测的研究力度,以求最快的速度发展此行业,为我国的计算机领域带来更大的进步。
  参考文献:
  [1]姜峰.浅谈计算机网络入侵检测[J].农业网络信息,2009(3).
  [2]何小虎.计算机网络入侵检测探讨[J].科技信息,2010(14).
  [3]陈杰.计算机网络入侵检测技术发展[J].硅谷,2009(10).
  [4]张丽红.计算机网络入侵检测系统体系结构剖析[J].信息安全与通信保密,2003(12).


转载注明来源:https://www.xzbu.com/8/view-1604685.htm