上海海事测绘中心 上海市杨浦区 200090
摘要:随着计算机网络技术的飞速发展和也能够用以及计算机网络用户数量的不断增加,如何有效地保证网络上信息的安全成为计算机网络的一个关键技术。本文首先说明了入侵检测的必要性,并给出入侵检测的概念和模型。其次概述了多种入侵检测方法及体系结构。最后,讨论了该领域当前存在的问题及今后的研究方向。
关键词:网络安全;入侵检测
一、入侵检测技术应用的必要性分析
互联网具有高度的开放性和自由性,而接入网络的计算机系统或软件不可能绝对安全,为保障计算机用户数据和系统的完整性、可用性以及保密性,就必须采用必要的安全防护措施。目前常用的安全防护措施有对系统进行完善、对数据进行加密、执行访问控制等。但是就目前技术发展来看,第一种措施在技术层面很难实现;第二种措施短期内可对数据进行保护,但是加密技术本身实现过程中存在一些问题,被破解的可能性相对较高;第三种措施会在一定程度上降低网络用户的使用效率。
综合来看,可以应用较为容易实现的安全系统配合使用基于某些安全策略建立起来的安全辅助系统来提升网络用户的安全性能。基于入侵检测技术构建的入侵检测系统即为这样一类系统,系统模型如图1所示。其可以主动对用户网络中存在的行为进行实时检测,从中识别入侵行为和入侵对象,进而采用适当的安全防护措施保障网络用户的网络安全。因此,使用入侵检测技术对网络用户进行安全防护是非常有必要的。
二、入侵检测技术分类
目前常用的入侵检测技术可分为两种类型:异常入侵检测相关技术和无用入侵检测相关技术。前者会对用户所在网络的异常行为和用户所使用的计算机的资源利用情况进行实时监测,并按照一定的描述方式将所检测到的行为进行分类,区分出正常网络行为和入侵网络行为,进而根据分析结果确认是否执行安全防护相关策略;后者则是根据已知的系统和应用软件的弱点攻击模式对网络行为进行入侵检测,进而筛选出对用户不理的行为,并执行相应的安全防护策略保护网络用户的安全。
三、入侵检测技术维护计算机网络系统安全
一般情况下,网络安全的入侵检测是通过系统来对数据进行审计的,主要包含系统程序、操作系统收集、应用程序以及网络包等数据信息,找出检测系统当中那些与网络安全策略相违背或者给系统的安全带来威胁的行为,对于准备入侵、正在入侵以及已经入侵的行为做出识别,同时采用相关保护策略的一种先进技术。它会给检测的结果、检测的效率以及误报率带来直接的影响。入侵检测的技术一般分为三大类:异常性的检测技术,误用性的检测技术以及完整性的检测技术。详细的论述请见下文。
期刊文章分类查询,尽在期刊图书馆
1、异常性的检测技术
异常性的检测技术也被称作为行为检测技术,它一般是按照应用者的具体行为以及资源的使用情况是否与正常的情况出现偏差来对入侵的行为进行判断的。在异常的检测过程中,所观测到的并不是一些已知的入侵行为,而是通信当中的一些不正常现象。这些不正常的现象一般可分为三种情况:一是内部的渗透;二是不恰当资源的使用;三是外部的闯入。
异常性检测的核心问题是正常使用模式的搭建以及怎样使用这个模式来对当前的用户行为和系统进行比较,进而对正常模式下的偏离情况进行准确的判断。而异常性的检测与系统一般是没有关系的,而且通用性一般都是比较强的,不会受到已知知识的局限,所以有些时候该技术还可以检测出一些未知的入侵行为。不过,异常性的检铡技术也有一些问题存在,主要体现在以下几方面的内容。
1)怎样才能相对有效的对用户的正常行为模式进行表示?也就是说选择哪些信息数据才能够对用户的行为进行有效的反馈,同时这些信息数据在收集以及处理的过程中更加的容易。因为用户以及系统的行为会不断的变化,所以正常的模式有着一定的时效性,并且还要不断的进行更新和修复,而当用户的行为突然间发生变化时,容易发生误报现象。
2)阐值的确定一般不是很容易。当阐值设定的比较高时,很容易发生漏报现象,而阐值设定相对比较低时,又很容易发生误报的现象。因为没有办法对系统的每一个用户行为都做出全方位的描述,在用户数量比较多、用户行为变化比较频繁时,就会提高系统的误报率。
3)异常性的检测技术训练的时间一般比较长。因为异常性的检测技术的判定标准不是很准确,并且有很高的误检率,所以很多异常性的入侵检测系统都长时间的停留在了分析以及研究领域。
2、误用性的检测技术
误用性的检测技术首先要做的就是给特定入侵的行为模式进行编码,搭建一个入侵的模式库。之后过滤检测中所采集到的审计事件信息数据,检查一下是否包括入侵模式来对攻击进行检测。误用性的检测技术也可以被称作知识性检测或者是特征性的检测。它一般是通过对攻击过程的具体条件、特点、排序以及事件之间具体关系的分析来对攻击行为的迹象进行描述。与异常性的入侵检测技术正好是相反的,误用性的入侵检测技术一般是按照之前定好的入侵方式对用户的活动行为做出模式匹配,之后对入侵的行为进行检测。
误用性检测技术的核心是怎样通过入侵的模式来对入侵的具体活动特征等进行准确的描述,进而对入侵进行有效的监测。因为误用性的检测技术一般是针对入侵的模式库来做出具体的判断,检测率一般是比较高的,另外,由于检测结果有比较明确的对照,为管理员的管理带来了很大的方便。不过,误用性的检测技术也有一些问题,主要体现在以下几个方面。
1)入侵模式库具有一定的局限性,一般只能对己知的入侵模式进行检测,对一些已知入侵的变形以及未知性的入侵就束手无策了。
2)入侵模式库在维护的过程中工作量比较大。必须具有完备的入侵模式库,大量的入侵行为才能被检测出来。伴随新入侵方法的逐步出现,入侵模式库也一定要逐步的更新才可以。
3)具体系统的依赖性比较强,移植性太差。因为误用性检测技术的原理比较容易,所以目前在入侵领域当中被广泛的应用,很多的商用系统都使用了误用性的入侵检测技术。
3、完整性的检测技术
完整性的检测技术是一种相对比较容易并且效率比较高的检测方法。它生成一个校验和为系统的各个文件,之后周期性的把检验和和源文件来做对比,目的是保证文件不被篡改。一旦文件未经过授权就被篡改,就会自动的报警。
每一个系统在正常运营的时候都会引起很多文件的规则发生一系列的变化。所以,一定要仔细的对完整性检验IDS进行调整,防止误报现象的发生。当合法变换发生的时候,一定要对校验和进行重置。
另外,完整性的检测技术还可以对网页的篡改进行检测。入侵者经常能够进入到没有打补丁的web服务器里面,对web服务器中的一些内容进行修改。完整性的检测技术还能对一些比较特别的web文件生成校验和,并对其进行监测。一旦入侵者将要对web页面的内容进行修改时,校验和的检测就会失败,这时相关的工作人员就会察觉到。网站发布的一些网页文件绝对不可以经常性的进行修改,要不然就会导致很多误报现象的发生。
结束语:
随着网络应用的日趋广泛,针对网络用户的入侵技术逐渐呈现出复杂化、多样化以及不确定化等发展趋势。用户使用网络时,一方面要进一步完善操作系统和相关软件,另一方面则需要根据实际网络环境和用户需求制定适当的入侵检测防护策略,同时应用其他多种网络安全防护措施。这样才能最大程度的保护用户的网络安全。
参考文献:
[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2014(11)
[2]刘明.试析计算机网络入便检测技术及其安全防范[J].计算机与网络,2016(1).
[3]王永刚.计算机网络安全的入侵检测技术分析[J].电脑知识与技术,2015,11(19)
论文作者:王永恒
论文发表刊物:《防护工程》2018年第33期
论文发表时间:2019/2/27
标签:检测技术论文; 用户论文; 系统论文; 网络论文; 模式论文; 异常论文; 网络安全论文; 《防护工程》2018年第33期论文;