网络入侵检测技术探析
2017-03-30吴玉强田素诚
吴玉强,田素诚
(南京森林警察学院,江苏 南京 210023)
网络入侵检测技术探析
吴玉强,田素诚
(南京森林警察学院,江苏 南京 210023)
随着现代化科技信息技术的到来,计算机网络技术在各个行业中的应用越来越广泛,而网络安全的保护措施就显得极其重要.网络安全性传统提高的方式通常是施加病毒防护技术、加密技术和防火墙技术等网络安全检测技术,这些技术只能进行被动防护,无法达到网络安全的要求.在现代化科技信息背景下,应对网络入侵检测技术科学合理的应用,实时进行网络系统的入侵检测,能够使网络安全程度得到很大的提升.因此,对于网络入侵检测技术的科学合理的应用显得极其重要.本文对网络入侵检测技术和防治要点进行分析,探讨如何有效的提高网络安全程度.
网络入侵;检测技术;分析探讨
在现代化科技信息技术的时代背景下,全球经济得到了很大的发展,信息产业的发展也得到了很大的推动.当今社会的主要生产力基本已经更换成计算机智能化工具,社会的发展脚步在计算机网络的推进下不断加快,各类技术产业的产物得以盛行.然而在各个行业领域加强应用计算机产业技术手段时,各类网络安全问题也不断浮出水面.加强对网络入侵检测技术的应用能够使用户使用权益在一定程度上得到安全保障,在此趋势下,网络入侵检测技术的发展也得到了很大的推动,对网络入侵检测技术的研究、创新,能够对计算机网络的使用提供安全保障,推动社会经济的稳定发展.
1 网络入侵检测技术的重要性
网络入侵检测指的是实时监控计算机的运行情况,对入侵行为及时了解并采取相对的防治措施,为网络安全提供保障.安全管理技术是网络入侵检测的本质,在计算机网络中应用能够收集分析不同系统源的重要节点信息,例如安全日志、外部信息、网络行为和审计数据等,并根据这些信息对计算机运行状态是否稳定进行判断,对被攻击现象是否存在进行识别,并在自动反应后将检测记录和报告生成.
网络入侵检测系统等同于保护计算机安全的第二道闸门,对于计算机运行安全性的提高有着重要的意义,能够将防火墙等安全防护措施存在的技术缺陷补充完善[1],并且在检测计算机运行动态的过程中不会使网络性能受到任何影响.网络入侵检测技术能够在网络系统发生更改变换时,及时的将更全面、更准确的更改变换信息提供给网络安全管理人员,便于对网络系统漏洞的及时补充,并提供合理有效的依据便于制定网络安全防护方案.
2 网络入侵检测技术分类
在网络入侵检测中使用较为普遍的技术可分为两种类型:异常入侵检测和误用入侵检测.异常入侵检测是实时监控使用者所用计算机对资源的利用情况和所在网络中存在的异常行为,并将检测的行为根据一定的描述方式分类,将网络行为的正常和入侵区分开,然后按照分析结果考虑是否采取安全防护相关措施;误用入侵检测是对网络行为借助已经系统、软件的弱点攻击方法进行入侵检测,将不利于使用者的不当行为筛选出,并采取安全防护相关措施为使用者提供安全保障.
2.1 异常检测
异常入侵检测也可以称作基于行为的检测,该方法是分析使用者对资源的使用情况和行为,并根据是否与正常偏离的情况对入侵行为进行判断.异常检测中,所观察的并非已知行为入侵,而应是出现在通信中的异常状况.该异常状况通常分成内部渗透、外部闯入和资源使用不恰当.异常入侵检测主要是根据网络参考阈值和网络特征量进行检测,在使用该方法前,首先要界定正常的网络安全行为范围,了解行为特点,然后根据计算机实际运行状况分析用户行为,对两者的差别进行分析,从而对网络入侵行为的发生进行判断.在异常检测方法中,选择特征量和界定参考阈值极其重要,在对特征量进行选择时[2],不仅要确保代表性和价值性的存在,同时还要防止冗余特征量的出现;而对参考阈值进行界定时,必须确保界定范围的合理性,防止出现过大或过小的情况,以免影响网络入侵检测结果的精确性.和误用入侵检测技术不同,异常入侵检测能够准确的对为止入侵行为进行检测,但是对检测系统要求具备较强的处理功能,同时能够实时进行更新.然而在异常检测技术中有以下几个问题存在:
(1)对用户的正常行为如何有效进行表示,也就是说通过哪些数据对用户行为进行有效反应,而且还能很容易获取、处理这些数据.在不断改变的系统、用户的行为下,正常模式拥有了时效性,必须持续进行更新,而出现突发改变的用户行为时,很可能出现误报的情况.
(2)无法确定合理的阈值会造成很多问题.设定值较高会有漏报的情况出现,而设定值偏低会出现误报的情况.由于无法全面的对系统内所有用户行为进行描述,因此在众多用户经常出现行为动态改变时,会出现较高的系统误报率.
(3)训练异常检测方法的时间普遍较长,并且系统在训练时无法正常运行,被入侵者了解到处于训练的系统,便能通过对用户模型的逐步更新将入侵行为转变为正常行为从而建立正常模式.异常检测判定标准缺乏精确性以及较高的误检率,导致该技术方法的研究得不到很大的改善.
2.2 误用入侵检测技术
误用入侵检测技术是将入侵情况对比已知入侵情况和入侵行为并进行分析,如果入侵行为能够和参照行为匹配说明该网络中有误用入侵行为存在,如果无法匹配则说明该网络中没有误用入侵行为的存在.由此可见,检测结果的准确性与检测技术能否准确构造模式有着紧密的联系.误用入侵检测技术通常可以分为基于键盘监控的入侵检测、基于条件概率的入侵检测和基于状态迁移分析的入侵检测等,这几种技术都拥有相同的核心思想,不同在建立模式的方法、手段.但是在误用入侵检测技术中,有以下几个问题存在:
(1)由于该技术只能对已知入侵行为进行检测,局限于入侵模式库,无法针对未知攻击进行检测,对于已知攻击的形式变化也无法检测.
(2)使用误用入侵检测技术进行检测,要求入侵模式库必须完备,针对于新入侵方法的大量出现,必须不断对入侵模式库进行及时更新,维护的工作量很大.
3 网络入侵检测防治技术
3.1 基于主机的入侵检测防治技术
在计算机网络中进行网络安全保护的方法中,以主机为发展基础的入侵检测防治技术的应用属于较早的存在.该方法在对网络是否存在入侵现象时,通常是以计算机系统的测评和跟踪日志作为参考数据,并通过分析以报告的形式表示出网络具体行为.在使用该技术时,按照主机的数量而定,主机数量不多时,无需添加专门的硬件平台,没有较高的技术成本,而且对每个主机都能明确的区分,可以集中检测在主机系统中存在的网络入侵行为,并参考网络协议能对网络入侵情况及时发现.
3.2 基于网络的入侵检测防治技术
以网络为发展基础的入侵检测防治技术,是通过专业工具软件如嗅探器等,对网络传输流量进行监控,并分析截获采集后的网络数据,与网络正常行为特征或是网络入侵已知行为特征作比较,对网络是否出现入侵现象进行判断.同时,也能够将入侵检测工具安装在网络重要节点上,有利于分析数据包载荷,提高对网络入侵行为识别的准确性[3],并采取相应的防备措施.该方法包含高实用性、多种检测类型以及配置简单等优点,不需要在操作系统中采集数据源,不过该方法对主机系统的入侵检测无法实现,仅仅能对网段进行检测,无法确保网络入侵检测结果的准确性.
3.3 分布式网络入侵防治技术
通过对网络入侵检测防治技术的不断研究、创新,以分布式结构为基础的网络入侵防治技术也得到了广泛应用,使对系统入侵检测的协调性得到了良好的提高,并将传统的入侵检测防治技术存在于大规模网络和异构系统中的局限性解决.分布式网络入侵是融合了基于主机与网络入侵检测防治技术的方法,使用主机入侵检测技术对主机进行检测,利用网络入侵检测对网络重要节点进行检测,随后根据分析网络数据的结果,对网络中是否存在入侵行为进行判断,并实施对应的方法进行防治,有效提高网络使用的安全.
4 网络入侵检测技术要点
根据以上入侵检测技术的分析,可以得知在网络安全防护中应用网络入侵检测技术能够有效的对网络安全进行保护,解决网络中存在的安全问题.而在使用这些技术的过程中,必须对各类检测技术的要点进行科学合理的应用.
4.1 注意实时性的体现
在对网络进行入侵检测时,发现存在入侵攻击或有攻击企图时,必须对入侵者进行及时追踪,并对入侵者给予破坏,以免网络在后续中再次发生被攻击的情况.
4.2 注意适用性的体现
必须对网络的环境、主机的数量以及计算机系统的类型的信息进行详细了解,并根据这些信息采用合理有效的网络入侵检测技术[4],便于该技术在对计算机网络进行检测中能够充分发挥出技术的作用,有效提高入侵检测结果的准确性,确保网络的运行安全.
4.3 注意可扩展性的体现
由于对网络进行攻击的行为存在多样性,因此计算机网络受到的破环也存在区别.便于对各种网络攻击行为进行有效的防御,应注意对网络入侵检测系统的扩展,提高检测防治力度.
5 结语
网络入侵检测技术是根据实时采集到的计算机主机和网络中的关键信息并进行分析,从而对是否出现合法用户对资源的滥用或非法用户入侵的行为进行判断,并采取对应措施进行处理.该方法是以传统的网络安全防治技术为基础,结合检测技术开展的主动防御,将以往网络安全事故被动处理的方式转变为对网络入侵行为的提前防治和自动处理,并将有效证据提供于对入侵者法律责任的追究.随着对网络安全防护技术的重视,对网络入侵检测技术的研究不断加大,这对于网络环境的安全、稳定和健康的构建有着重大的意义.而由于加大了网络入侵检测防治技术的研究力度,该检测防治技术也得到了改进、完善,同时更多形式、种类的检测防治技术不断出现,使网络环境的安全得到了很大的提升,为网络使用者提供了网络安全的保障.
〔1〕黄少文.网络入侵检测技术的要点[J].电子技术与软件工程,2016(22):228.
〔2〕郝炳洁.入侵检测技术在网络安全中的应用[J].信息系统工程,2016(10):72.
〔3〕韩树军.计算机网络安全的入侵检测技术探析[J].现代商业,2016(14):181-182.
〔4〕王宇祥.入侵检测技术在计算机网络安全维护中运用探讨[J].网络安全技术与应用,2016(04):22,24.
TP393.08
A
1673-260X(2017)09-0020-02
2017-06-06
中央高校基本科研业务费专项资金项目(LGYB201605)
