◆凌天斌
网络安全和入侵检测技术研究
◆凌天斌
(解放军外国语学院 河南 471003)
我国近年来计算机网络技术发展迅猛,人们生活以及各行各业在工作中都能用到计算机,那么这样一来,计算机网络安全就非常重要了,以往为了保证网络的安全性,一般使用网络防护技术对来对计算机网络进行保护,比如防火墙、病毒防护技术等,但是使用这种防护技术只能被动的对网络进行防护而无法检测网络的安全性能,仅仅只能防护已经不能满足网络安全的需求,如今计算机广泛应用于人们的生活以及工作中,网络日益复杂,保护网络的安全性,除了防护系统之外还要主动对网络进行入侵检测。本文将主要针对入侵检测技术来对网络安全中入侵检测技术的应用进行分析。
网络安全,入侵检测技术,应用
随着计算机的广泛应用,在这个高度发达的信息时代,网络是信息传递的基础,它作为人们之间交流的工具有着不可替代的作用,推动了国家的经济发展,网络的应用改变了人们传统的生活方式,对国家在政治、军事、经济方面的政策决定非常重要。信息网络的各种特点,比如开放化、国际化、社会化等,使国家之间的传统战争变为信息战,国家之间关于信息的获取、使用以及信息的控制等的战争愈演愈烈,“信息边疆”一直在延伸。而这些信息的获取都源自于网络,所以网络信息的安全现在关系着国家系统的安全,保证着社会的正常发展,对于我们个体而言也是保护着我们的隐私及一些其他利益。
入侵检测是现在网络系统进行安全审核的一个重要的环节,入侵检测系统是一种对计算机网络系统被非法入侵或出现的异常现象时及时进行捕捉的网络检测技术,一般主要通过网络行为、对数据进行审计和分析安全策略日志来管理网络安全系统,入侵检测技术可以在异常因子攻击计算机之前进行高效的预知与拦截,对内部保护、外部防御等进行有效保护,在对计算机网络进行保护的时候具有更强的主动性[1]。入侵检测技术具有三种防护手段:(1)模式匹配,模式匹配主要检测分析计算机的数据,对网络攻击特征进行确认;(2)异常检测,异常检测是对网络历史数据进行收集,并在这个过程中确定网络正常数据档案,对实时活动和历史活动档案进行比较,判断活动是否正常,是否是病毒入侵;(3)完整性分析,完整性分析对网络中的文件和目录进行检测,检查是否正常,完整性分析具有一个非常大的优势,每一个入侵的地方完整性分析都可以检测出来。
入侵检测技术具有很强的网络安全检测性能,但是想要充分发挥该技术的作用,对网络安全问题有效解决,就要对入侵检测技术的要点非常了解,在使用时根据其要点对网络安全进行有效检测。
2.1实时检测与控制
在利用网络检测技术实时入侵检测网络时,一旦发现异常攻击行为或者攻击企图,就要及时对入侵者的位置进行锁定,并对其攻击行为进行破坏,避免后期网络攻击行为再次出现,有效解除攻击危机。
2.2根据情况合理检测
在使用网络入侵检测技术来对网络进行检测的时候,要根据网络环境、网络连接主机数量以及连接计算机类型等进行了解,根据具体情况对入侵检测技术进行科学的设计,以达到技术的有效实施,达到保护计算机网络的安全的目的[2]。
2.3入侵检测技术的扩展
计算机网络安全中,不同的攻击行为有着不同的破坏程度,为了能够有效对各种攻击行为产生预防作用,要对入侵检测技术进行扩展,使之在网络安全保护中,能够有效防御各种危险因素产生的破坏。
3.1对信息进行收集
在入侵检测当中,数据有着非常重要的作用,对检测有着举足轻重的影响。数据源大致可分为四种:程序执行中不想要出现的行为、物理形态的入侵、有关系统和网络日志的文件、文件以及目录中不想要的改变。信息采集的时候要把单个或多个IDS代理布置在每个网段上,不同的网络构成导致有不同的数据收集连接方式,如若用集线器连接网段,那么交换机上一般都会有端口在芯片上,可以把网络从端口接入,把入侵检测系统安置在较重要的数据必须经过的出入口也是可以的,基本上得到的数据很全面[3]。除此之外,如果分布在网络中的信息具有不同关键点,对这些信息进行采集的时候,要根据收集信息目标扩大检测范围,检测中欠缺环节可能会出现相同地方检测不到异常现象,这就需要在采集信息中注意并记录不同目标拥有的不同特点,以此,来作为系统判断是否属于异常现象的依据。
3.2对收集到的信息进行分析
收集到的信息要对信息数据进行分析,通过分析,发现是否具有异常活动以及异常活动的特点,并把它发送给管理器,工作人员要清楚了解各种系统漏洞以及网络规定,从而对网络安全措施以及网络安全信息库进行完善,之后再创建各种检测模型,使计算机能够进行模拟分析并把分析结果自动编制成警示语发给管理控制中心,此外,IP/TCP网络中,网络探测引擎在检测技术中也有着举足轻重的地位,我们可以把网络探测引擎看成一个传感器,它主要是通过旁路监听的方式来检测数据包,并最终对检测到的异常编制成警告语发送到控制中心。
3.3信息有关响应
IDS的作用就是有入侵情况能够及时做出一定的反应,它有一定的工作过程:对数据做出最起码的分析,对本地网段进行检测,搜索出隐藏在数据包中的危险因素,最后对危险因素做出相应反应,这种反应主要是警告或者网络引擎通知,如给网络安全负责人发送Email或者SNMP strap、对控制台提出警示消息等等。记录现场,对整个的事件进行详细记录,可采取事件日志形式,采取一定行为进行安全响应,如执行指定用户的的响应程序等。
3.4入侵检测技术与防火墙的结合
防火墙技术相对而言算是比较成熟了,它能很好的对多种入侵行为进行有效的防御,对控制网络层以及应用层的访问起到了非常大的作用,但是防火墙的缺点是无法较好地监视并控制内部网络,那么这样就容易产生入侵者利用协议隧道来绕开防火墙进行入侵,这样就对网络安全造成了很大的威胁,所以,防火墙的防御能力虽强,但是也并不能完全阻挡入侵行为[4]。防火墙和入侵检测技术的结合,能够发挥双方不同的优势,从而对网络安全进行保护,二者结合的工作流程是这样的:首先,防火墙或者入侵检测系统这两者中的其中一个为另一个开放一个接口,二者信息交流之前约定并设计信息交流端口,然后遵守约定规则进行信息交流;其次,防火墙需要检测经过的数据包,将经过的数据包进行分析对比,对没有经过授权或者不符合规定的数据包过滤掉;最后,入侵检测技术来对绕过防火墙的入侵行为进行逮捕,利用建立完善的信息数据库,对不符合规则的入侵行为进行警告,从而达到网络安全的有效防护。
网络广泛的使用使得网络攻击行为增多,网络安全问题也变越来越严峻,如果没办法及时解决问题,将会造成网络的瘫痪,从而影响人们的正常生活和正常工作,也会带来很大的损失,为了避免网络安全问题产生的影响,应当正确设计入侵检测技术来对网络安全进行防护,构建科学的网络安全防护系统,实时对网络安全与否进行检测,避免系统内部出现攻击情况,同时对主动防御进行加强,将网络入侵检测技术合理的应用在网络安全检测中,从而对网络的安全运行进行保护。
[1]袁沛沛.网络安全入侵检测技术[D].西安建筑科技大学,2008.
[2]王瑶.基于Agent的分布式入侵检测系统的研究及实现[D].昆明理工大学,2002.
[3]范晨.IPv4/IPv6过渡阶段网络安全工具的实现与研究[D].山东科技大学,2003.
[4]胡佳明.网络安全中混合型入侵检测系统设计[D].浙江大学,2006.