入侵检测系统在计算机网络安全上的应用

【摘要】：本文对网络入侵方式的特点作了介绍，并分析了入侵检测技术的概念、分类和主要技术方法，对入侵检测系统在计算机网络安全维护中的应用流程做了探讨，提出了入侵检测技术和防火墙结合应用方案。

【关键词】：入侵检测技术；计算机网络安全；应用

中图分类号：TN711 文献标识码：A 文章编号：

随着信息化时代的发展，网络的应用涉及到方方面面，在给我们带来便利的同时，也带来了很多问题，网络安全就是其中一种。目前，网络入侵已成为影响对计算机网络系统的安全的重要威胁。入侵检测技术具有识别入侵者，识别入侵行为，检测和监视、为对抗入侵及时提供重要信息，阻止事件发生和事态扩大等多方面功能，是维护计算机网络安全的重要技术手段。

1 网络入侵的方式

目前，网络入侵方式主要包括以下几个方面：

1.1 病毒攻击

病毒具有传染性、隐蔽性、寄生性、繁殖性、潜伏性等特性。目前 BBS、电子邮件、WWW浏览、FTP文件下载对点通信系统等时病毒攻击的主要环节。

1.2 身份攻击

网络攻击主要包括信息收集攻击、口令攻击、漏洞攻击等。身份攻击是攻击者通过大量的试探性方法对网络系统中存在的漏洞进行漏洞扫描，或是对系统可用的权限进行账户扫描及系统提供的服务进行端口扫描，并捕获系统漏洞，对用户输入的账号和口令窃取，进而利用公开协议和工具对各个主机系统中的有用信息进行非法收集、篡改等。

1.3 拒绝服务攻击

拒绝服务攻击是将一定序列、一定数量的报文发送在网络系统中，导致大量要求回复的信息充斥在网络服务器中，使网络系统资源或网络宽带被大量消耗，从而导致正在运行过程中的计算机网络或系统不胜负荷以至于瘫痪、停止正常的网络服务，出现死机、无响应等现象的攻击。

1.4 对防火墙的攻击

一般来说，防火墙的抗攻击性很强，不容易被攻破。但是，一定程度上的缺陷不可避免的始终存在于防火墙的设计和实现中，从而导致防火墙被攻击。随着互联网的兴起和网络技术的高速发展，直接攻击和非法绕过防火墙的攻击给计算机网络安全带来了严重的威胁。如地址欺骗和TCP序号协同攻击、利用FTP-pasv绕过防火墙认证的攻击等非法绕过防火墙的攻击、Cisco PIX 防火墙的拒绝服务漏洞的直接攻击。

2 入侵检测技术简介

入侵检测是通过对计算机网络或系统中的重要文件、关键数据进行收集，并在分析的基础上，从而发现是否有违反安全策略的行为和遭受攻击的现象存在于网络或系统中，对可能危害到系统的机密性、完整性和可用性的行为进行报警和阻断的过程。

入侵检测常用分析技术手段有模式匹配、异常发现和完整性分析：模式匹配是检测网络上每一个数据包，寻找网络攻击特征，与攻击特征相同长度的一组字节从可疑数据包首部取出，并对两组字节进行比较；如果两组字节一样，攻击特征即被检测出来；重复该流程被重复，直到所有的数据字节都与攻击特征进行比较。异常检测是对一段网络操作或中的历史数据进行收集，建立网络正常活动的“活动简档”。将网络当前的活动状况与“活动简档”相比较，检测网络是否偏离了正常行为模式，从而判断是否发生了入侵。完整性分析是通过检查网络中文件的内容、目录及属性是否处于正确状态，有没有被更改。

入侵检测方式可分成基于主机和基于网络的检测：基于主机系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用安全审计记录，并拿日志文件和常见已知攻击的内部数据库进行比较，并把它们收集到它自己的特殊日志以供管理员分析使用。 基于网络的入侵检测是在路由器或主机级别扫描网络分组、审查分组信息、并在一个特殊文件中详细记录可疑分组。根据这些可疑分组，基于网络的入侵检测可以扫描它自己的已知网络攻击特征数据库，并为每个分组指定严重级别，安全组的成员就可以进一步调查这些异常特点。

3 入侵检测技术在计算机网络安全维护中的应用

入侵检测主要通过执行以下任务来实现对计算机网络安全的维护：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。基于网络的入侵检测系统（IDS）一般具有多层体系结构，由 Agent、Console 和 Manager 三部分组成。其基本工作原理是Console负责从处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某个管理器的。Agent 负责监视所在网段的网络数据包，将检测到的攻击及其所有相关数据发送给管理器。Manager 集中进行统一的日志、报警管理。另外，还负责显示检测到的安全信息及详细的侵报警信息(如入侵者的IP地址及目的IP地址、目的端口、攻击特征、当前用户和进程)，对配置和攻击警告信息响应，执行控制台的命令，将发出的攻击警告传递给控制台，从而完成整个过程的入侵检测。具体应用分析如下：

3.1 信息收集

在计算机网络系统中的若干不同关键点信息的收集，除了根据所要检测的对象，设置网络包截取和尽可能地扩大检测范围外，还有一个薄弱环节，即对来源于一个对象的信息很有可能开不出任何疑点。这就要求入侵检测信息收集时，应从对来源于几个对象的信息的不一致性进行重点分析，作为判断入侵或可疑行为的最好标识。相对于整个网络来说，入侵行为毕竟属于少数行为。因此，对于少数异常数据，可将其孤立起来形成一个数据群进行集中处理，加强入侵分析的针对性。因此，基于孤立点挖掘是入侵检测技术中信息收集的重要手段，其基本操作是将小部分异常数据中具有代表性的、与常规数据模式明显不同的数据从大量复杂的数据中挖掘处来单独处理。这就将目前异常检测中所面临的由训练样本中正常模式不完备所带来的误报率高的问题克服。

3.2 信息分析

对上述收集到的信息，通过模式匹配和异常发现分析模式对数据进行分析，从而发现违背安全策略的行为，并发送给管理器。设计者需要对各种网络协议、系统漏洞、等行为等有一个很深刻清醒的认识研究，然后制订相应的安全规则库和安全策略，再分别建立滥用检测模型和异常检测模型，让机器模拟自己的分析过程，识别确知特征的攻击和异常行为，最后将分析结果形成报警消息，发送给控制管理中心。

3.3 信息响应

IDS根本的任务是要对入侵行为做出适当的反应。其过程是在分析数据的基础上对本地网段进行检测，将隐藏在每一数据包中的恶意入侵查找处来，对发现的入侵做出及时的响应。

3.4 入侵检测技术和防火墙的结合应用

在实际应用中我们可以设计入侵检测与防火墙的协同应用模型，实现一个较为有效的安全防护体系。首先，防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信，双方可以事先约定并设定通信端口。其次，防火墙通过过滤机制，对经过的对经过的数据包进行解析，将它们与事先定义好的规则进行对比，过滤掉一部分非授信用户的数据包。最后，对于那些绕过防火墙的非授信用户的数据包，入侵检测系统根据已知的入侵特征定制规则集，来检测符合规则定义的网络攻击，并做出响应，用户采取措施来处理相应的入侵攻击。

4 总结

针对目前网络入侵攻击的严重情况，入侵检测技术作为一种积极主动地安全防护技术，是维护网络安全的重要手段。在未来计算机科学技术发展的进程中，我们要不断完善入侵检测技术，建立更可靠的网络安全防范体系，实时保护对网络受到的内部攻击和外部攻击，在并在网络系统受到危害之前拦截和响应入侵，发挥入侵检测的重要作用。

参考文献：

[1] 康健.入侵检测技术的研究[J].科技资讯,2009(3).

[2] 臧露.入侵检测技术在网络安全中的应用与研究[J].信息技术,2009(6).

[3] 石利平.浅谈网络安全中的入侵检测技术[J].福建电脑,2006(6).