计算机网络安全的入侵检测技术分析
2016-01-14王永刚
王永刚
摘要:该文阐述了计算机网络安全入侵检测的概念,介绍了计算机网络安全入侵检测技术与入侵检测系统的类型,并提出计算机网络安全入侵检测技术存在的问题,在结合笔者多年工作经验,对计算机网络安全检测技术的发展提出几点看法,以供参考。
关键词:计算机技术;网络安全;入侵检测;概念;问题
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)19-0032-02
随着社会经济与科学技术的不断进步,计算机技术以及互联网得到了越来越广泛的应用与发展,对于人们的生活有着十分重要的意义。然而计算机与网络的普及也出现了一系列的问题,例如由于网络入侵导致计算机系统系统的正常运行受到影响,降低了计算机的工作效率,同时一些涉及个人隐私的信息也受到威胁。因此,入侵检测技术的应用对于计算机网络安全的防范就起到了十分重要的作用,然而由于我国计算机网络安全入侵检测技术的起步较晚,在许多方面存在一定的不足,难以保障计算机的网络安全,因此,加强计算机网络安全的入侵检测技术应用与研究势在必行。
1计算机网络安全入侵检测的概念
计算机在正常运行的过程中,当处于网络环境时,那么就存在外界与内部不安全因素,例如病毒、软件的侵入而影响到计算机的运行速度,进而造成计算机的工作效率降低。而一旦计算机运行状态出现异常,那么就可以运用入侵检测技术来及时防御计算机内部与外部的干扰因素,同时也使得计算机由于这些影响因素造成的干扰得以有效避免。当计算机受到意外攻击时,计算机网络安全的入侵检测技术能够与防火墙相配合,使得计算机得到更好的保护。鉴于此,可以说计算机网络安全的入侵检测技术就是以补充防火墙的不足而产生的。
2计算机网络安全入侵检测技术的类型
2.1基于误用检测技术
误用入侵检测的主要功能是根据特征搜集影响计算机的干扰因素,并对其是否集中出现进行判断并处理。误用入侵检测技术与杀毒软件的操作方式相似,而该技术的优势在于其建立的入侵特点的模式库,并根据此进行相似特点的搜集,如此一来检测中不仅能够搜集出有着相似特征的入侵行为,同时又使得系统的入侵与抑制系统免于遭受同样的入侵。然而有的入侵行为具有一定的特殊性,其具有变种功能,即利用相同的功能缺陷与原理进行变异,因此就难以被检测出来。误用入侵技术在某些方面还是存在一定的缺陷的,例如其只能对已知序列和特点对有关入侵行为进行判断,而难以及时检测出一些新型的入侵攻击行为,同时还有一些漏洞存在。
通常可以将误用入侵检测技术分为专家系统与状态迁移分析技术等两种。其中专家系统在早期的入侵检测系统中比较常用,主要是采用专家的入侵行为检测系统。比如早期的NIDES、NADIR,这些都是具有独立的专家系统模块。一旦发现专家系统中的入侵行为,整个系统就会对其进行编码,将其编译为一个IF语句。其次是状态迁移分析技术,建立在异常检测技术的基础之上,对一组系统的“正常”情况下的值进行定义,包括CPU利用率、内存利用率以及文件校验等等,然后与正常定义作对比。在该检测方法中,对“正常”情况的定义是最为关键的部分。
2.2基于异常的检测技术
基于异常入侵的检测技术需要对一组正常情况下内存利用率、硬盘大小、文件检验等值进行定义。这些数据是具有灵活性的,人们可以方便自己统计而进行自主定义,接着比较规定数值与系统正在运行中的数值,进而对被攻击与否进行检验与判断。该检测方法是以对正常数值的定义为核心而进行的,如此才能够判断系统是否遭受到了攻击。该检测技术早在1996年就有了一定的研究,有人以建立系统的审计跟踪数据分析系统,主体正常行为的特征为大致方向,建立起一个大概的轮廓模型。在进行检测的过程中,在审计系统中,被认为是入侵行为的依据就是系统中的出现较大差异的数据。根据功能配置文件、登录的时间与位置、CPU使用时间以及文件访问属性等对特点进行描述。其对应的功能配置文件会随着主要行为特征的改变而改变。例如入侵检测系统基于统计的使用或规则进行描述,对系统行为特征的基本轮廓进行建立。
3入侵检测系统的类型
3.1基于主机的入侵检测系统
基于主机的入侵检测系统主要对主机进行重点检测,通过在主机上设置入侵检测,对其是否被攻击进行判断。主机入侵检测系统能够较为全面动态的监控计算机网络用户的操作行为,一旦出现网络异常情况就会进行预警,能够安全有效的保护起网络的安全。基于主机的入侵检测系统能对攻击行为是否有效果加以判断,以此提供给主机充分的决策依据,并且还能监控例如文件访问、文件执行等指定的系统部位的活动。
3.2基于主机的入侵检测系统
基于行为的入侵检测系统主要指基于网络的入侵检测系统,其无法提供给客户单独的入侵检测服务,然而该系统的具有较快的检测速度以及低廉的检测成本。基于网络的入侵检测系统在设置检测的过程中能够进行多个安全点的设置,并同时观察多个系统的网络通信,同时也省去了主机上的安装,因此才被认为成本较低。基于主机的入侵检测无法安全有效的检测数据包,因此在入侵检测中时常出现漏洞,然而该检测系统具有检测对主机的漏洞攻击的功能,一旦发现恶意程序或者软件,就会进行及时的处理。在检测过程中,基于网络的入侵检测系统能够通过方便快捷的网络通讯实现对系统的实时监控,一旦发现问题,就会直接进行网络报告,以防止攻击者转移证据。基于网络的入侵检测技具有动态检测计算机网络系统的功能,一旦发现网络系统中存在入侵行为就会做出快速反应,不会受到时间与地点的限制,并进行预警,同时采取相应的措施处理入侵行为。
4计算机网络安全入侵检测技术存在的问题
4.1入侵检测技术不完善
与一些发达国家相比,我国计算机网络技术的起步较晚,在发展过程中难免遇到一些问题,计算机网络安全入侵检测技术仍有待完善,有时面对相对复杂的计算机入侵行为是难以彻底有效的清除与解决威胁网络安全的因素的。当计算机运行处于不安全的网络环境,网络安全的入侵检测技术也存在一定的缺陷,在某些方面的安全检测存在局限性,能够进行计算机网络系统的局部检测与分析,一旦计算机网络系统处于不同的网段,其检测的全面性与有效性是难以保证的,由此可见,计算机网络安全的检测技术仍然有待提高,其存在的局限性与不完整性是非常强的。
4.2入侵检测技术过于单一
除了技术水平有待提升之外,计算机网络安全的入侵技术还存在检测方法具有单一性的问题。现阶段,特征检测是计算机网络安全的入侵检测技术的主要手段,其检测范围有限,主要是针对比较简单的网络入侵行为进行有效的防御与处理,一旦出现的网络安全入侵行为比较复杂,那么这一检测技术的局限性就体现出来了,一般难以实现有效的防御与解决,并且工作量较大,需要耗费大量的时间与精力进行计算,否则是无法检测出计算机存在的问题的,此外由计算产生的庞大数据也使得计算机网络安全检测技术的效率大幅度降低,因此,难以为计算机网络环境的安全性与可靠性提供充分的保障。
4.3入侵检测技术加密处理有待提升
在人们日常工作与生活中,计算机得到了十分广泛的应用,因此计算机内储的网络数据可能涉及了部分隐私,在计算机网络安全环境遭到攻击时,计算机网络数据的安全性与隐私性是难以通过检测技术而得到保护的,可见检测技术加密处理有待提升。计算机网络安全的入侵检测系统本身就难以全面的对计算机系统进行检测,需要与计算机内部防火墙相配合,才能实现有效的入侵检测,如此一来计算机内部网络数据可能就会暴露,无法实现对其科学有效的加密处理,使得用户的个人隐私受到了一定程度的威胁。
5计算机网络安全检测技术的发展趋势
在网络安全防护中,计算机网络的入侵检测技术发挥着非常重要的作用,同时不同的安全检测手段的应用也有着十分重要的意义,然而现阶段这些检测技术仍然存在不同程度缺陷。随着科学技术的不断进步,在社会的各个领域中计算机网络技术必然得到越来越广泛的应用与发展,入侵技术也会得到进一步的完善与更新,网络环境也更容易遭到攻击。为此,计算机网络安全的入侵检测技术必须提高自身的检测水平,建立在一般检测技术的基础之上,进行更进一步的发展与研究,并且还要以此为重点,对有关计算机网络数据分析方面的技术研究进行强化。
为了实现这一目标,首先要对分布式入侵的检测技术的研究与发展予以大力支持,一方面要实现对计算机分布式网络攻击的有效检测,使计算机存在的问题得以全面有效的发现与解决,避免出现检测漏统;另一方面,还要实现计算机网络安全监测系统的分布式检测方法的应用,使计算机网络环境存在的问题得到及时发现,并对其进行协同处理与解决,使网络安全检测系统的资源优势得到最大限度的发挥,进而为计算机网络安全检测技术水平与检测效率提升提供强有力的支撑。
其次,还要注重智能化网络安全检测技术的发展,使入侵检测技术更加灵活准确,其中模糊处理、遗产算法、神经网络、免疫原理等是其主要检测方式,如此才能够实现对外界入侵软件或程序的准确识别与分析,进而使网络安全入侵检测技术的水平得以有效提高,并将智能化检测技术融入到计算机网络安全入侵检测技术当中,为计算机网络环境的可靠性与安全性提供充分的保障。
再者,全面化发展也是计算机网络安全入侵检测技术的重要发展方向,应进行建立网络安全入侵全面检测系统的尝试,并设定更加科学统一的评估标准,加强网络安全检测平台建设,确保其更加科学、准确。如此越来,计算机的检测范围才能够得以扩大,计算机资源也得到充分的利用,同时检测系统的可靠性也得到增强,进而使得计算机网络安全入侵检测技术的整体水平得以有效提高。
6结束语
综上所述,目前在我国计算机网络安全的入侵检测技术的应用与研究方面仍然存在一定的不足,难以对计算机网络系统起到有效的保护。为此,我们必须针对其中存在的问题展开深入的研究,提出相应的技术措施以实现检测技术的完善,提高检测水平,为计算机网络系统的正常运行提供强有力的保障。