陈主峰

摘要：传统的网络安全防护措施主要是设置防火墙和使用数据加密等手段对信息和资料进行保护，主要针对的是一些采用病毒等手段窃取数据和资料的网络安全入侵。新型的信息保护技术主要包括智能性识别和分布式识别，本文主要探讨的问题是网络安全的智能性识别技术。

关键词：网络安全;智能识别;技术

网络是一种互相关联的开放式的信息技术产品，虽然可以对自己重要的数据和资料等进行数据加密和防火墙的设置，但是，一旦遇到黑客和一些恶意软件，这些数据和资料等便会很容易被窃取。因此，网络信息技术的安全方面一直都是备受关注的。网络入侵检测技术是一项重要的，基于传统的数据加密和防火墙之上的安全防护措施，比传统的保护措施更具优势，是一项具有发展潜力的应急处理的措施。

一、网络入侵的概念

网络入侵指的是网络上的信息由于系统被破坏或者是以其他形式窃取等一系列活动的集合。[1] 网络信息系统被破坏，信息被窃取，与传统的信息技术相比存在着比较大的区别，即网络信息系统是一种跨时空的媒介。信息情报的窃取者无论何时何地，有的甚至是相隔万里也可以对对方的信息系统进行破坏，从而窃取信息。网络的特性使得这一种入侵方式变得更为隐蔽，窃取的人只需要动动鼠标和键盘，很多的时候只是短短几分钟甚至是几秒钟的时间，信息就失窃了。

此外，对于具体的攻击行为又分为两大类别，一类是主动型攻击，另一类是被动型攻击。主动型攻击主要的入侵方式是对用户的信息进行更改和拒绝用户使用资源，主要的破坏行为是攻击信息系统。被动型攻击则并不对用户的网络行为进行干预，而是通过观察用户的行为对用户数据等进行窃取。不难发现，主动型攻击主要是危害用户信息的真实性和安全性，而被动型攻击则是危害用户信息的保密性，虽然其影响是不一样的，但是对于用户来说，都是危害其信息系统的，对于网络安全入侵的防护也是非常有必要的。

二、网络入侵检测系统的基本原理

网络入侵检测技术主要指的是对用户的信息系统中的信息进行分析，研究信息系统中是否存在违反网络安全条例的行为的技术。简单的解释就是一台联网的计算机，一般来说都不会让第三方或者是未经授权的系统对本系统进行访问，因此便会对计算机系统进行一定的防护措施，包括防火墙和数据加密等。

网络安全入侵的检测主要包括下面的原理：

（一）主动响应

用户使用驱动技术，使得用户自身使用的系统自动执行命令，反击攻击者的行动，并且进行系统的修护，同时收集相关的信息。

（二）被动响应

被动响应则是入侵检测系统的工作，其主要是对系统被入侵情况进行检测、记录和报告，将被入侵的具体情况报告给用户，下一步采取的行动则需要用户手动进行。被动响应仅仅起的是通知和警告的作用。

尽管网络安全入侵检测系统的工作原理只是对网络信息系统中收集到的信息进行分析，再利用自带的数据库进行匹配，利用匹配到的数据来分析计算机系统是否被入侵和遭受攻击，这其中入侵检测系统仅仅是对判断结果进行警告，或者是进行有限度的反击。有人会质疑入侵检测系统的实用性，认为在装备了防火墙的系统之后，无需再使用网络入侵识别系统。其实不然，安装防火墙并不能使信息系统的安全性一劳永逸，防火墙只能阻止第三方的访问，对于内部用户的攻击并不能起到防护作用，对于第三方的访问阻止力度也并不是很强。第三方完全可以绕过防火墙对系统进行攻击和破坏，并且防火墙不能防护利用服务器漏洞或者通讯协议漏洞进行的破坏和攻击。此外，防火墙本身也会存在漏洞，这也会出现信息安全隐患。因此，若要对用户系统和信息安全进行更加有效的防护，就要对在安装防火墙的同时安装入侵检测系统。

三、网络入侵智能识别的技术与方法

对于系统安全来说，防火墙只是一道未经上锁的门，能够为用户阻挡的攻击和破坏比较有限，网络入侵智能识别系统才是那一道有效防护的安全闸门。通过收集信息、分析信息对计算机的内部系统安全进行检测，及时反馈网络攻击，提升系统的安全性。

（一）异常识别的特性

异常识别指的是对用户遇到的攻击行为进行信息收集，再将信息与自带的数据库进行对比，以此识别出对计算机的攻击和破坏行为。因为用户本身的行为与攻击行为之间是存在着一定的差异的，入侵检测系统就可以将入侵行为检测出来，从而阻止该攻击行为的下一步动作并且对系统进行有效的修护。异常入侵检测主要包含以下的模型：

1、基于統计模型的异常入侵检测

该模型主要是利用统计学的相关知识，对用户某个时间段的行为进行一定的统计，并且设置一个阈值。一旦计算机的行为超过了这个阈值则会被认定为异常，系统则会对该行为进行阻止，用户便可以根据相关的提示作出相应的举动，以组织入侵和破坏行为。但这个模型存在着一定的不足，若是阈值设置过低，则会导致用户的正常行为受限，反之若是阈值设置过高，则会使系统的安全性降低。

2、基于神经网络的异常入侵检测

神经网络检测技术是一项利于函数计算原理的技术，将很多计算单元的网络组成复杂的函数计算，将这些数据组成一定的网络结构，通过一些正常的用户行为对该结构进行训练，因此神经网络则会对正常行为产生记忆，并且只能识别出这些正常的用户行为。以此判断网络行为是否异常，并且检测出网络是否被入侵。

3、基于文件检查的异常入侵检测

文件检查系统是一项比较特殊的技术，其主要是通过系统敏感数据的加密检验来检测系统中的文件是否处于异常情况。这项技术虽然可行性较强，检测的正确率也较高，但存在着一定的滞后性。需要在入侵之后才能开始检测到系统中的异常情况，从而作出防护反应。这一项技术还存在着一个缺陷，即若是入侵者对文件进行加密和改变，或是将该检测方式的编程进行修改，则会导致检测不出入侵行为的状况。

（二）误用入侵的识别特性

误用入侵识别技术使用的主要手段就是数据建模，通过对用户的系统和使用的软件等存在的缺点和漏洞等进行检测和数据的建模。从数据中观察用户的使用状况和用户行为与系统误用之间存在的差异进行对比，并且通过以往用户的数据模型等进行数据库的建设，从而将系统行为模型与数据库模型对比，分析出入侵和异常行为。包含以下几种技术：

1、基于模式匹配的误用入侵检测

该技术是当前网络安全入侵检测中最常用的技術，通过收集用户系统中网络行为的信息，再将其与数据库中的信息对比，能够快速准确地识别数据库中不存在的异常行为，完成系统的防护。但是，该项技术也存在着比较大的不足，就是尽管是用户的正常行为，只要是不包含在数据库中，也会被系统认定为异常行为。这就需要相关的技术人员不断对数据库进行更新，才能使得用户的使用变得便利。

2、基于专家系统的误用入侵检测

这种方式在近年使用的范围逐步扩大，是将主动入侵和被动入侵行为进行编码，再制定相应的专家系统规则，系统便会识别出异常行为并且进行阻止。类似于专家在线解答用户提出的技术问题。

3、基于状态转换分析的误用入侵检测

该方式需要对入侵行为进行模拟，让系统对入侵行为进行记忆。再通过系统的识别功能，将一些异常的行为报告给用户，用户再采取相应的措施组织系统被入侵。

（三）免疫学运用入侵识别技术

免疫学运用入侵识别技术中的免疫与生物学中的免疫效果相似，计算机中的安全识别系统就相当对抗体，对攻击者进行防御。该项技术的前景也是非常不错的，值得深入进行研究。

四、结语

时下是一个网络化的时代，网络安全问题是与国民生产生活息息相关的问题，值得相关的部门和人员不断地努力。通过不懈地努力和技术改进，促进网络信息技术的不断进步。

参考文献：

[1]邹聪.计算机网络安全技术在网络安全维护中的应用思考[J].科技传播，2020，12（01）：87-88.

[2]张永.交互式网络恶意入侵数据多状态识别仿真[J].计算机仿真，2019，36（11）：272-275.

[3]杨瑞.入侵检测技术在网络安全中的应用与研究[J].数字技术与应用，2016，（5）：216.