導(dǎo)語：網(wǎng)絡(luò)安全入侵檢測闡述一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：網(wǎng)絡(luò)安全問題已經(jīng)成為當(dāng)今社會人們最為關(guān)注的問題之一，一旦網(wǎng)絡(luò)受到惡意入侵，很有可能會造成電腦系統(tǒng)癱瘓或儲存信息泄露等問題，對人們的工作以及信息安全造成了一定的影響，因此相關(guān)人員一直極為重視對網(wǎng)絡(luò)安全防范技術(shù)的研究，并對入侵檢測技術(shù)進(jìn)行著不斷的優(yōu)化，本文將對這一技術(shù)的概念、工作原理和流程、分類、運用實踐以及發(fā)展趨勢五個方面進(jìn)行闡述，希望能夠為入侵檢測技術(shù)的運用帶來一定的啟示。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；工作原理；發(fā)展趨勢

對電腦系統(tǒng)進(jìn)行破壞操作，以非法獲得他人信息資料的行為，就可以視為是入侵行為。目前，網(wǎng)絡(luò)安全的主要防范技術(shù)就是防火墻技術(shù)，雖然這種技術(shù)具有一定的防范優(yōu)勢，但較為被動，并不能自動對電腦進(jìn)行檢測，而入侵檢測技術(shù)較為主動，能夠?qū)﹄娔X系統(tǒng)進(jìn)行實時的監(jiān)控和防護(hù)，可以及時發(fā)現(xiàn)對電腦進(jìn)行入侵的操作，并予以制止，既能夠阻止外來的惡意侵入，同時還能對用戶的操作進(jìn)行監(jiān)管，一旦用戶出現(xiàn)違規(guī)操作就會發(fā)出警報，提升了信息資料的安全系數(shù)。

1入侵檢測技術(shù)

入侵，英文為“Intrusion”，是指企圖入侵計算機系統(tǒng)，對其可用性、保密性以及完整性進(jìn)行破壞的一系列操作行為，而入侵檢測就是指對企圖進(jìn)行入侵的行為進(jìn)行檢測的一項技術(shù)。主要是通過將計算機網(wǎng)絡(luò)以及計算機系統(tǒng)中的重要結(jié)點信息收集起來，并對其進(jìn)行分析和判斷，一旦出現(xiàn)有違規(guī)操作或者有惡意攻擊的情況，就會立即將這一情況反映到系統(tǒng)管理人員處，對入侵行為進(jìn)行檢測的硬件以及軟件被稱為入侵檢測系統(tǒng)。入侵檢測系統(tǒng)在電腦運轉(zhuǎn)時，該系統(tǒng)會進(jìn)行如下幾點操作：（1）對用戶和系統(tǒng)的活動進(jìn)行監(jiān)視和分析；（2）對系統(tǒng)的構(gòu)造以及不足之處進(jìn)行審計；（3）對入侵行動進(jìn)行識別，將異常的行為進(jìn)行統(tǒng)計和分析，并上報到后臺系統(tǒng)中；（4）對重要系統(tǒng)以及數(shù)據(jù)文件是否完整進(jìn)行評估，并會對系統(tǒng)的操作進(jìn)行跟蹤和審計。該系統(tǒng)具有識別出黑客入侵和攻擊的慣用方式；對網(wǎng)絡(luò)的異常通信行為進(jìn)行監(jiān)控；對系統(tǒng)漏洞進(jìn)行識別；對網(wǎng)絡(luò)安全管理水平進(jìn)行提升。

2工作原理及流程

2．1工作原理。1）對異常行為進(jìn)行檢測在使用異常檢測這項技術(shù)時，會假定系統(tǒng)中存在的入侵行為都屬于異常，所以想要在系統(tǒng)中建立正?；顒訉俚奈募鸵獙Ψ钦５奈募南到y(tǒng)狀態(tài)數(shù)量進(jìn)行全面的統(tǒng)計，進(jìn)而對入侵行為進(jìn)行有效的鑒別。比如，電腦程序員的日常正規(guī)操作和編輯人員的日常正規(guī)操作具有一定的差別，這時就應(yīng)對工作人員的日常操作進(jìn)行記錄，并設(shè)立用戶專屬的正常活動文件。這樣操作之后，即使入侵者盜竊了用戶的賬號進(jìn)行操作，也會因為與專屬文件中的活動不符而被視為是入侵行為，系統(tǒng)會做出相應(yīng)的反應(yīng)。但值得注意的是，入侵行為與非日常行為操作并不相同，通常會存在兩種可能：一種是用戶自己的異常操作被系統(tǒng)視為是入侵，即“偽肯定”警報真實性不足；另一種是惡意入侵的操作因為與用戶的正常操作極為相符，導(dǎo)致系統(tǒng)將入侵行為默認(rèn)為是正常行為，即“偽否定”，這種錯誤行為造成的后果較為嚴(yán)重。因此，進(jìn)行異常檢測的重點問題就是要能選擇出正確的“閾值”，進(jìn)而保證兩種問題能夠得到有效的控制，并能夠?qū)嶋H的管理需要系統(tǒng)進(jìn)行有區(qū)域性的重點監(jiān)視。現(xiàn)在異常檢測所使用的方法主要有預(yù)測模式生成法、統(tǒng)計法以及神經(jīng)網(wǎng)絡(luò)法三種。2）基于相關(guān)知識對特征進(jìn)行檢測所謂特征檢測，也被稱之為Misusedeteciton，能夠通過一種模式將假設(shè)的入侵人員操作行為表示出來，目的就是為了找出與這些操作行為相符的模式，保護(hù)網(wǎng)絡(luò)系統(tǒng)安全。不過這種檢測方式也存在一定的弊端，它只能檢測出已經(jīng)存在的入侵行為，并不能將新型的入侵行為檢測出來。對入侵行為的判斷只能基于電腦系統(tǒng)中已經(jīng)建立的模式之上，而特征檢測系統(tǒng)目前的關(guān)鍵問題就是對攻擊模式能夠涉及和實際攻擊有所關(guān)聯(lián)的全部要素的確定問題以及對入侵活動進(jìn)行特征匹配的問題。就理論層面而言，想要使檢測系統(tǒng)能夠?qū)⑷肭值幕顒油耆珯z測出啦，就必須要確保能夠運用數(shù)學(xué)語言將所有的入侵行為全面描述出來，從此可以看出，該檢測方式最大的問題就是獨立性不足，不僅系統(tǒng)的移植性較差，維護(hù)工作的任務(wù)量過重，同時還無法將入侵行為變?yōu)槌橄笮缘闹R，在對已知知識的檢測也受到了一定的限制，特別是內(nèi)部人員如果進(jìn)行違規(guī)操作時，很難將其檢測出來。現(xiàn)行使用的違規(guī)檢測方式主要有神經(jīng)網(wǎng)絡(luò)、基本規(guī)則以及狀態(tài)轉(zhuǎn)換分析三種方式。2．2工作流程。在對電腦進(jìn)行入侵檢測時，系統(tǒng)的工作流程主要分為三個步驟：第一步，要對信息進(jìn)行統(tǒng)計。在進(jìn)行檢測之前，首先就要對網(wǎng)絡(luò)流量內(nèi)容以及用戶接連活動等方面的信息進(jìn)行收集和統(tǒng)計；第二步，對信息進(jìn)行分析。在對需要的信息進(jìn)行收集和統(tǒng)計之后，相關(guān)技術(shù)人員就應(yīng)對這些信息進(jìn)行分析，目前常用的分析方式為完整性分析、模式匹配以及統(tǒng)計分析三種，模糊匹配與統(tǒng)計分析會在電腦運轉(zhuǎn)過程中對系統(tǒng)進(jìn)行實時監(jiān)測，而在事后分析時多使用完整性分析法；最后一步就是對電腦系統(tǒng)的操作進(jìn)行實時登記和報警，同時對入侵行為進(jìn)行一定程度的反擊處理。入侵檢測系統(tǒng)的主要目標(biāo)就是為了對入侵的行為做出相應(yīng)的處理，即對入侵行為進(jìn)行詳細(xì)的日志記錄和實時報警以及進(jìn)行一定程度的回?fù)羧肭衷础，F(xiàn)在鑒別入侵活動的技術(shù)方式有基本活動、用戶特征以及入侵者特征三種。

3入侵檢測系統(tǒng)分類

按照檢測數(shù)據(jù)的來源，入侵檢測系統(tǒng)可以分為主機方面的檢測系統(tǒng)以及網(wǎng)絡(luò)方面的檢測系統(tǒng)兩種，下面我們來分別了解一下：3．1主機方面的檢測系統(tǒng)。這種檢測系統(tǒng)的數(shù)據(jù)源是由系統(tǒng)日志以及應(yīng)用程序日志等組成的，同時也可以使用像監(jiān)督系統(tǒng)調(diào)用等方式對主機的信息進(jìn)行分析和收集。在對主機進(jìn)行檢測時，一般會在主要檢測的主機上安裝入侵檢測系統(tǒng)，這樣能夠?qū)z測對象的系統(tǒng)審計日志和網(wǎng)絡(luò)連接情況主動進(jìn)行科學(xué)的分析和評定。當(dāng)出現(xiàn)與特征或統(tǒng)計規(guī)律不同的操作時，還系統(tǒng)就會將其視為是入侵行為，并會自動進(jìn)行相應(yīng)的處理。如果主機設(shè)定的文件發(fā)生變化，在主機檢測系統(tǒng)就會對新操作與記錄的入侵行為進(jìn)行對比，如果對比度較高，檢測系統(tǒng)就會將對這一操作進(jìn)行報警，并自動進(jìn)行相應(yīng)的處理。3．2網(wǎng)絡(luò)方面的檢測系統(tǒng)。在網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)上進(jìn)行檢測時，系統(tǒng)的數(shù)據(jù)源則是由原始網(wǎng)絡(luò)包組成的。檢測系統(tǒng)此時會在運轉(zhuǎn)系統(tǒng)的隨機模式中任意選擇一個網(wǎng)絡(luò)適配器來對網(wǎng)絡(luò)中的通信業(yè)務(wù)實施全面的監(jiān)視與分析。當(dāng)該系統(tǒng)檢測到有入侵的行為時，系統(tǒng)就會進(jìn)行一系列的反應(yīng)，不同的檢測系統(tǒng)做出的反應(yīng)也會不同，但主要措施基本相同，像通知以及反擊等等。

4入侵檢測系統(tǒng)的運用實踐

4．1貝葉斯聚類。以貝葉斯聚類為基礎(chǔ)對入侵行為進(jìn)行檢測的方法，是對電腦的數(shù)據(jù)進(jìn)行分析，并從中找出不同的數(shù)據(jù)集合，從而將異常用戶區(qū)分出來。在二十世紀(jì)九十年代，相關(guān)學(xué)者研發(fā)出了自動分類程序，屬于無監(jiān)督的數(shù)據(jù)分類技術(shù)，這種技術(shù)的研發(fā)成功為貝葉斯統(tǒng)計技術(shù)運用的實施奠定了良好地基礎(chǔ)。這種檢測的方式具有兩方面的優(yōu)勢：一方面，以提供的數(shù)據(jù)為依據(jù)，這種檢測方式能夠自動對類型數(shù)目進(jìn)行斷定；另一方面，對于聚類準(zhǔn)確、相似測量以及停頓規(guī)則，并沒有過多的要求。一般檢測的技術(shù)基本都是以監(jiān)督分類的形式為主，是通過對用戶行為的檢測設(shè)定出用戶的常規(guī)操作的范圍，但貝葉斯的分類與其有所不同，能夠?qū)⒎诸悢?shù)以及具有相似操作用戶自然分成一類，較為理想化。不夠由于這種檢測方式的使用時間較短，還沒有在入侵檢測系統(tǒng)中進(jìn)行實驗，所以一些細(xì)節(jié)方面的問題，像自動分類程度的處理以及審計跟蹤等方面的具體操作沒有明確，導(dǎo)致在使用時無法將這一優(yōu)勢無法充分發(fā)揮出來。4．2模式匹配。在入侵檢測中，模式匹配這一方式最為簡單、傳統(tǒng)。在使用這種檢測方式時，首先要在系統(tǒng)中設(shè)置入侵特征庫，之后，檢測系統(tǒng)會對收集的數(shù)據(jù)進(jìn)行檢測，一旦數(shù)據(jù)與庫中的入侵特征不符時，檢測系統(tǒng)就會自動將其視為是入侵行為。雖然這種檢測方式具有計算簡便以及準(zhǔn)確率較高等優(yōu)勢，但也存在一定的缺點，這種檢測方式只能對庫中的入侵形式進(jìn)行檢測，一旦入侵者對操作進(jìn)行修改，檢測系統(tǒng)就很難將其識別出來。相關(guān)人員雖然也會對庫內(nèi)特征不斷進(jìn)行更新，但由于網(wǎng)絡(luò)發(fā)展速度過快的特性，更新的速度相對較難，直接增加了檢測的難度。4．3特征選擇。特征選擇的檢測方式是挑選出檢測性能較好度量構(gòu)成子集，并以此作為主要的檢測手段對已經(jīng)檢測出的入侵行為進(jìn)行預(yù)測、分類。這種檢測方式的不足之處在于無法對用戶的異常活動以及惡意入侵行為作出準(zhǔn)備的判定，而且這種進(jìn)行斷定的過程也較為復(fù)雜，在對度量子集進(jìn)行選擇時，主要的參考依據(jù)就是入侵類別，且一個度量子集并不能對所有的入侵行為進(jìn)行檢測，如果僅使用一種子集，很有可能會出現(xiàn)檢測遺漏的現(xiàn)象，從而使網(wǎng)絡(luò)安全受到威脅。最佳的子集檢測入侵方式就是能夠自動進(jìn)行子集的選擇，從而實現(xiàn)對入侵行為的全面檢測。該行業(yè)的學(xué)者提出了利用遺傳方式來對所有的子集進(jìn)行搜尋，并自動找出適合的子集對操作行為進(jìn)行檢測，這種方法主要是運用了學(xué)習(xí)分離器的方式形成了基因突變算子以及遺傳交叉算子，將測量性能較低的子集篩除之后，使用遺傳算子生成的子集再次進(jìn)行測量，并將這樣的測量方式和測量性能較高的子集有機結(jié)合在一起，檢測的效果會更加明顯、高效。4．4神經(jīng)網(wǎng)絡(luò)。由于神經(jīng)網(wǎng)絡(luò)的檢測方式具有較強的自學(xué)習(xí)、自適應(yīng)以及自組織能力的優(yōu)勢，因此多在環(huán)境信息以及背景知識較為不利的環(huán)境中使用。使用這種檢測對入侵行為進(jìn)行檢測，能夠?qū)⑽粗娜肭中袨闄z測出來。數(shù)據(jù)信息預(yù)處理功能會將審計日志以及網(wǎng)絡(luò)訪問行為等信息進(jìn)行處理，獲得輸入向量，之后神經(jīng)網(wǎng)絡(luò)會對向量展開分析，進(jìn)而得到用戶常規(guī)的操作方式，并進(jìn)行記錄，以此判斷出操作與之不符的入侵活動。

5入侵檢測系統(tǒng)的發(fā)展趨勢

隨著人們對于網(wǎng)絡(luò)安全重視的程度越來越高，入侵檢測技術(shù)水平也得到了顯著的提升，已經(jīng)開始朝向更加智能化、自動化的方向發(fā)展，尤其是以孤立點挖掘為基礎(chǔ)的檢測技術(shù)更是今后入侵檢測系統(tǒng)的主要發(fā)展趨勢。所謂孤立點挖掘就是指對大量的信息數(shù)據(jù)進(jìn)行篩選，找出其中與常規(guī)數(shù)據(jù)有著明顯不同的，且較為小眾、較為新穎的數(shù)據(jù)檢測方式。使用這種方式能夠?qū)⒋笠?guī)模數(shù)據(jù)中的異常數(shù)據(jù)挖掘出來，從而有效避免因這些數(shù)據(jù)的異常而帶來的負(fù)面影響。雖然入侵的手段也在不斷進(jìn)行著變化，但就整體的網(wǎng)絡(luò)行為而言，入侵行為還是會產(chǎn)生小部分的異常數(shù)據(jù)，而使用這一技術(shù)能夠準(zhǔn)確找出這些數(shù)據(jù)，并對其進(jìn)行適當(dāng)?shù)奶幚?，可以更好地將入侵行為的本質(zhì)呈現(xiàn)出來，所以在今后進(jìn)行入侵行為檢測時，可以使用這種技術(shù)將入侵檢測轉(zhuǎn)變?yōu)楣铝Ⅻc數(shù)據(jù)發(fā)掘行為。與其他的入侵檢測技術(shù)相比，孤立點挖掘檢測技術(shù)并不需要進(jìn)行訓(xùn)練，可以直接進(jìn)行使用，有效避免了因訓(xùn)練模式不完善而造成的檢測遺漏等情況。就實踐消耗的角度而言，是以進(jìn)行距離對比為主的，雖然相對于其他入侵檢測的方式，這種方式的檢測需要大量的時間和空間，但其算法性能較高，對于入侵的阻擊效率也較為理想，值得進(jìn)行大面積推廣。

6結(jié)束語

由于現(xiàn)在網(wǎng)絡(luò)病毒以及黑客等惡意入侵手段越來越復(fù)雜，對網(wǎng)絡(luò)的安全使用造成了極大的影響，為了應(yīng)對這一問題相關(guān)技術(shù)人員必須要加強對安全防范技術(shù)的研發(fā)，尤其是要對入侵檢測技術(shù)進(jìn)行強化，不斷優(yōu)化檢測技術(shù)水平，保證電腦系統(tǒng)能夠有效檢測出非法入侵行為，并自動對其進(jìn)行一系列的反擊，從而確保網(wǎng)絡(luò)信息的安全。通過本文對入侵檢測技術(shù)的運用以及相關(guān)問題的介紹使我們認(rèn)識到現(xiàn)在使用的檢測技術(shù)多少還存在一定的問題，需要技術(shù)人員對其不斷進(jìn)行研發(fā)和改進(jìn)，為人們帶來更加安全、快捷的網(wǎng)絡(luò)使用環(huán)境。

作者:孔政 單位:長江水利委員會人才資源開發(fā)中心

參考文獻(xiàn)：

［1］蔣建春，馬恒太，任黨恩，卿斯?jié)h．網(wǎng)絡(luò)安全入侵檢測：研究綜述［J］．軟件學(xué)報，2000（11）．

［2］王艷華，馬志強，臧露．入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究［J］．信息技術(shù)，2009（6）．

［3］姚玉獻(xiàn)．網(wǎng)絡(luò)安全與入侵檢測［J］．計算機安全，2007（5）．

［4］周碧英．入侵檢測技術(shù)及網(wǎng)絡(luò)安全的探討［J］．電腦知識與技術(shù)（學(xué)術(shù)交流），2007（23）．

［5］付衛(wèi)紅．計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)的研究［J］．科技信息，2010（3）．

［6］王艷．網(wǎng)絡(luò)安全與入侵檢測技術(shù)［J］．和田師范專科學(xué)校學(xué)報，2008（3）．

［7］李陽，劉廣，杜為民．入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中面臨的挑戰(zhàn)及對策［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005（11）．