入侵检测技术在网络安全中的应用研究

2017-10-12◆张杨

网络安全技术与应用 2017年10期

关键词：信息安全网络安全检测

◆张杨

（四川师范大学四川 610068）

入侵检测技术在网络安全中的应用研究

◆张杨

（四川师范大学四川 610068）

现如今，计算机技术在各行业的应用很广泛，有许多重要的业务信息是直接通过计算机进行信息传递和储存的。在这个过程中，如果有人恶意对业务信息进行拦截或者篡改，则业务信息就没有了价值，严重情况下，会使企业经营不良，直至倒闭。所以网络安全技术人员要加强对入侵检测技术的研究，技高一筹，有效防范和解决信息安全风险隐患。

入侵检测；网络安全；信息安全

0 引言

入侵检测技术发挥功效，主要借助入侵检测系统。目前的入侵检测技术还是存在一定缺陷的，对网络安全维护作用是有限的，在使用中，应针对漏洞采取应对措施。本文主要针对入侵检测技术在网络安全中的应用进行研究。

1 入侵检测系统的分类

入侵检测系统是针对网络入侵技术而出现的，主要有两种，分别是检测、防御[1]。检测系统就是对计算机所有的软硬件中的信息进行维护与监控，能随时对系统是否出现病毒进行检查，并在用户下载可疑软件时，给出相关的提醒，并能在入侵者发起攻击时，给其发出警告，并对用户发出警报。这种入侵检测系统在计算机中的应用，使系统能正常运行，不会出现瘫痪问题，信息的交流传递与保存也能得到保障。但是这种系统受网络总系统的限制，如果总系统出现纰漏，这种检测技术阻拦入侵者的力度就会降低，即使和计算机的防火墙技术共同发挥作用，信息系统的运行依旧会处于不安全状态。入侵防御系统因此产生，经这种系统扫描的信息数据块，都会被纳入到其监控范围中，能对其安全状态进行深度扫描与检测，并准确判断其安全状态，在完整的信息数据块进行交流传递时，发挥功能，保持信息的完整性。在有害的信息数据块攻击网络时，它能对整个网络起到保护作用，并将其阻挡在系统之外，使其不会破坏系统，使系统保持正常运行。

这两种系统虽然都能对计算机系统起到保护作用，但是二者的侧重点是不同的。入侵检测系统侧重点在检测，防御系统侧重点是在检测后对其进行防御。前者是不具备防御功能的，主要靠用户及时发现，及时阻挡入侵，但是有很多用户的计算机技术水平是有限的，阻挡不住入侵者的脚步[2]。后者具有自主性，能自行判断信息是否安全，自行启动防御系统，适用防御技术，能最大程度上保障信息安全。

2 入侵检测技术存在的问题

主要有五方面：

（1）入侵检测系统发挥作用的范围是有限的，只是对与之相接的网段通信的安全发挥检测作用，在整个计算机系统中，如果监测系统作用范围外的网段出现漏洞，则会成为众矢之的，给攻击者可乘之机。要解决这种问题，就得使计算机整个系统处于检测系统监测范围内，这就需要借助传感器。传感器的作用范围是有限的，只能增加其数量，来将整个系统囊括在传感范围内。信息安全是得到了保证，相应的成本就失控了[3]。

（2）入侵检测方法有好几种，比较常用的就是特征检测法，这种方法价值是有限的，即使发挥全部作用，也不能阻挡技术高超的入侵者的攻击。

（3）某些特定的数据包处于入侵检测系统作用范围内时，会随着检测系统对相关信息数据的检测扫描，会产生分析数据，这些数据是检测系统进行信息安全状态判定的重要依据，但是这种数据多了，积累起来，会占用系统的分析空间，进而使系统不能保持原来的性能和工作状态，系统检测功能发挥程度会降低。

（4）一些重要的信息数据块在传递的过程中，不管是文字信息转化的数据还是语音及视频转换的数据，检测系统不能百分百保证传递安全。相关人员还要对这其中的加密技术进行研究，使信息在加密通道传递时，能处于安全状态。

（5）检测系统的检测作用有效，防御功能为零，如果不能将其与防火墙结合到一起，只依赖用户防御，效果是低下的，所以要将其的检测功能与防火墙的防御技术结合在一起，其作用以及作用时间虽然有限，但能阻挡比较低级的攻击，所以还要加快入侵防御系统的研究与使用。

计算机入侵防御技术正在日臻完善中，相关部门集合多种力量，以防御技术比入侵技术技高一筹为目标，共同对其加强研究，防御技术研究终会有突破的。

3 入侵检测技术在网络安全中的应用

3.1 基于网络的入侵检测

基于网络的入侵检测主要通过对软硬件的信息安全状态进行检测，作用对象分别是软硬件，分别对应相关的入侵检测。虽然作用对象不同，但是检测的步骤及原理是有共同之处的。它们在工作时，通过以混杂模式为主的网络接口，对所有的报文进行处理，使其通过感应系统，进入入侵分析引擎中，这种引擎中的相关构造会对所有的信息数据进行分析，判断其是否处于安全状态的依据是规则库中的攻击信息特征，只要进行分析的信息有一点符合攻击信息，系统的相关构造就是将该信息传递到管理或配置构造，由这种构造发出攻击信号，响应模块在接收到这种信息后，会给用户发出警报。这一系列的工作流程都是在短时间内发生的，只有每个环节的信息处理速度快，才能在第一时间拦截住攻击信息[4]。基于网络的入侵检测系统如图1所示。

图1 基于网络的入侵检测系统

3.2 对于主机的入侵检测

基于主机的入侵检测在网络安全维护中也起着很重要的作用，这种检测的对象主要侧重于主机，主机的安全性会关系到系统运行以及网络连接状况，所以主机检测主要以这两项内容进行检查，前者主要检查的是系统审计日志，后者是网络实时连接信息，如果这两者的信息安全状态都符合要求，则证明主机是安全的。对主机进行实时检测，可以使操作系统免于瘫痪，使用户在进行下载或接收恶意报文时，能及时给予提醒。会使其他系统保持正常运行状态，使信息在处理的过程中，一直保持完整状态。计算机网络有时会成为有害信息或病毒的侵入点，主机检测可以使网络防御功能加强，从而使信息安全得到保障。在网络中有一些操作自动性非常强，超过用户的反应速度，最终导致病毒成功入侵网络系统，主机检测就可以避免这个问题，它会拦截并发出红色预警，并自动采取阻拦措施[5]。另外，在对系统日志进行审查的过程中，同时会在相关位置保存所有日志，作为备份。主机检测系统功能是很多，但作用范围是受到限制的，与其他的检测方式一样，也是通过增加辅助设备，才能覆盖整个系统，这样做有利有弊，会增加成本，抑制主机入侵检测系统功能发挥，但作用范围会变大，相关人员要权衡利弊。基于主机的入侵检测系统如图2所示。

图2 基于主机的入侵检测系统

3.3 入侵检测技术的体系结构

主要指的是基于网络的入侵检测技术的体系结构，其组成部分在运行时，要按照统一的工作流程来执行检测命令。体系结构主要有三部分组成，分别是Agent、Console、Manager，这三部分在信息处理过程中是协作关系，各司其职，共同将恶意信息找出来。按照操作流程，Agent在信息收集监控过程中，将普通信息过滤出去，留下可以信息传递到相关的管理或配置器中。Console和Agent作用差不多，也是对信息进行处理，将有害信息以及判断依据传递到管理或配置器中。Mananger可以译为管理者，主要对攻击信息作出最终的处理，命令警报系统发出警报。

3.4 入侵检测技术的工作模式

由于计算机网络入侵检测技术作用范围的局限性，要使所有信息都处于检测监控中，需要对不同网络结构的信息设置不同的入侵检测代理，辅助主体的入侵检测系统将信息集中起来处理。检测代理不同之处主要体现在连接方式上，连接方式有几种，如总线式的集线器、太网交换机等。集线器本身具有媒体共享的条件，即与代理进行有线连接的端口，如此，代理就能处于工作模式中，使对应部分的信息处于监控中。交换机要想发挥信息监控功能，先要将交换机的核心芯片与调试端口结合起来，共同发挥作用，将组合体置于能获得关键信息的地方，实验证明，这种信息监控方式是有效的[6]。