林晓斌
随着云技术的不断进步,计算机技术以及互联网得到了越来越广泛的应用与发展。然而,由于网络入侵将导致计算机系统不能正常运行,不仅影响工作,还泄漏隐私。因此,入侵检测技术的应用对于计算机网络安全就起到了十分重要的作用。
当计算机处于网络环境时,就存在外界与内部的不安全因素,例如病毒、软件的侵入而影响到计算机的运行安全,那么就可以运用入侵检测技术来及时防御。当计算机受到攻击时,计算机网络安全的入侵检测技术能够与防火墙相配合,使得计算机得到更好的保护,可以说计算机网络安全的入侵检测技术和防火墙就是一对“孪生兄弟”。
误用入侵检测的主要功能是根据异常特征搜集影响计算机正常运行的干扰因素等信息,并对其是否集中出现进行划断并处理。误用入侵检测技术与杀毒软件的操作方式相似,而该技术的优势在于其建立的入侵特点的模式库,并根据相似特点进行搜集,如此一来,检测中不仅能够搜集出有相似特征的入侵行为,而且又使得系统免于遭受同样的入侵。然而有的入侵行为具有一定的特殊性,具有变异功能,即利用相同的功能缺陷与原理进行变异,因此难以被检测出来。误用入侵技术在某些方面还是存在一定缺陷的,例如只能对已知序列和特点对有关入侵行为进行判断,而难 以及时检测出一些新型的入侵攻击行为,同时还有一些漏洞存在。
通常可以将误用入侵检测技术分为专家系统与状态迁移分析技术两种。其中专家系统在早期的入侵检测系统中比较常用,主要是采用专家的入侵行为检测系统,比如早期的NIDES和NADIR,这些都是具有独立的专家系统模块。一旦发现专家系统中的入侵行为,整个系统就会对其进行编码,将其编译为一个IF语句 。其次是状态迁移分析技术,其建立在异常检测技术的基础之上,对一组系统的“正常”情况下的值进行定义,包括CPU利用率、内存利用率以及文件校验等,然后与正常定义作对比。
基于异常入侵的检测技术需要对一组正常情况下内存利用率、硬盘大小、文件检验等值进行定义。这些数据具有灵活性,人们可以方便自己统计而进行自主定义,接着比较规定数值与系统正在运行中的数值,进而对被攻击与否进行检验与判断。该检测方法是以对正常数值的定义为核心而进行的,如此才能够判 断系统是否遭受到了攻击。该检测技术早在20多年前就有了一定的研究,有人以建立系统的审计跟踪数据分析系统,主体正常行为的特征为大致方向,建立起一个大概的轮廓模型。在进行检测的过程中,被认为是入侵行为的依据就是系统中的出现较大差异的数据,根据功能配置文件、登录的时间与位置、CPU使用时间以及文件访问属性等对特点进行描述,其对应的功能配置文件会随着主要行为特征的改变而改变,例如入侵检测系统基于统计的使用或规律进行描述,建立系统行为特征的基本轮廓。
基于主机的入侵检测系统主要是对主机进行重点检测,通过在主机上设置入侵检测,对其是否被攻击进行判断。主机入侵检测系统能够较为全面动态地监控计算机网络用户的操作行为,一旦出现网络异常情况就会进行预警,能够安全有效地保护网络安全。基于主机的入侵检测系统能对攻击行为是否有效果加以判断,以此提供给主机充分的决策依据,并且还能监控例如文件访问、文件执行等指定的系统部位的活动。
基于行为的入侵检测系统主要指基于网络的入侵检测系统,无法提供给客户单独的入侵检测服务,然而该系统具有较快的检测速度以及低廉的检测成本的优点。基于网络的入侵检测系统在设置检测的过程中能够进行多个安全点的设置,并同时观察多个系统 的网络通信,这样就省去了主机上的安装,因此被认为成本较低。基于主机的入侵检测无法安全有效地检测数据包,因此在入侵检测中时常出现漏洞。基于行为的检测系统具有检测对主机漏洞攻击的功能,一旦发现恶意程序或者软件,就会进行及时的处理。在检测过程中,基于网络的入侵检测系统能够通过方便快捷的网络通讯实现对系统的实时监控,一旦发现问题,就会直接快速进行网络报告,以防止攻击者转移证据。基于网络的入侵检测技术具有动态检测计算机网络系统的功能,一旦发现网络系统中存在入侵行为就会做出快速反应,不会受到时间与地点的限制,并进行预警,同时采取相应的措施处理入侵行为。
与发达国家相比,我国计算机网络技术的起步较晚,计算机网络安全入侵检测技术仍有待完善,有时面对相对复杂的计算机入侵行为是难以彻底清除的。当计算机运行处于不安全的网络环境,一旦计算机网络系统处于不同的网段,其检测的全面性与有效性是难以保证的。由此可见,计算机网络安全的入侵检测技术仍然不够完善,需要不断吸收先进的计算机网络安全的入侵检测技术。
除了技术水平有待提升之外,计算机网络安全的入侵技术还存在检测方法单一性的问题。现阶段,特征检测是计算机网络安全的入侵检测技术的主要手段,其检测范围有限,主要是针对比较简单的网络入侵行为进行防御与处理,一旦出现比较复杂的网络安全入侵行为,那么这一检测技术的局限性就暴露了,难以实现有效的防御与解决,并且需要耗费大量的时间与精力进行计算,才能检测出计算机存在的网络安全问题。此外计算产生的庞大数据也使得计算机网络安全检测技术的效率大幅度降低,因此,难以为计算机网络的安全性与可靠性提供快速有效的保障。
在工作与生活中,计算机得到广泛应用,因此计算机储存的网络数据可能涉及隐私。在计算机网络安全环境遭到攻击时,计算机网络数据的隐私性是难以通过检测技术得到保护的,可见入侵检测技术加密处理有待提升。计算机网络安全的入侵检测系统本身就难以全面地对计算机系统进行检测,需要与计算机内部防火墙相配合,才能实现有效的入侵检测,如此一来,计算机内部网络数据可能就会暴露,无法实现对其有效的加密处理,使得用户的个人隐私受到了一定程度的威胁。
在网络安全防护中,计算机网络的入侵检测技术发挥着非常重要的作用,同时不同的安全检测手段的应用也具有重要意义,然而现阶段这些检测技术仍然存在不同程度的缺陷。随着计算机技术的不断进步,在社会的各个领域中计算机网络技术必然得到越来越广泛的应用与发展,网络入侵手法也在不断更新和换代,网络环境也更容易遭到攻击。为此,计算机网络安全的入侵检测技术必须不断提高检测水平,建立在一般检测技术的基础之上,进行更进一步的发展与研究,并且还要以此为重点,加强对有关计算机网络数据分析方面的技术研究。
为了实现这一目标,首先要对分布式入侵的检测技术的研究与发展予以大力支持,一方面要实现对计算机分布式网络攻击的有效检测,使计算机网络安全存在的问题得以全面有效的发现与解决,避免出现检测漏洞。另一方面,还要实现计算机网络安全监测系统的分布式检测方法的应用,使计算机网络环境存在的问题得到及时发现,并对其进行协同处理与解决,使网络安全检测系统的资源优势得到最大限度的发挥,进而为计算机网络安全检测技术水平与检测效率提升提供强有力的支撑。
其次,还要注重智能化网络安全检测技术的发展,使入侵检测技术更加灵活准确,其中模糊处理、遗产算法、神经网络、免疫原理等是其主要检测方式。实现对外界入侵软件或程序的准确识别与分析,提高网络安全入侵检测技术水平,并将智能化检测技术融入到计算机网络安全入侵检测技术当中,为计算机网络环境的可靠性与安全性提供充分的保障。
再者,全面化发展也是计算机网络安全入侵检测技术的重要发展方向。应尝试建立网络安全入侵全面检测系统,并设定更加科学统一的评估标准,加强网络安全检测平台建设,确保其更加科学、准确。如此一来,计算机的检测范围才能够得以扩大,计算机资源也能得到充分的利用,同时检测系统的可靠性也得到增强,全面提高计算机网络安全入侵检测技术的整体水平。
综上所述,目前在我国计算机网络安全的入侵检测技术的应用与研究方面仍然存在一定的不足,难以对计算机网络系统起到全面有效的保护。为此,我们必须针对其中存在的问题展开深入的研究,分析对比世界先进的网络安全入侵检测技术手段,提出相应的技术措施,以实现检测技术的不断完善,为计算机网络安全运行提供强有力的保障。