入侵检测技术在计算机网络安全维护中的应用

舒豫 杨林

（宜春市公安局科技信息通信支队 江西省宜春市 336000）

最近几年，伴随着公安工作科信息化建设的持续深入，计算机网络技术在公安工作领域得到了越发广泛的应用，推动公安事业稳定发展的同时，对公安系统的信息安全提出了更加严格的要求。入侵检测技术能够为计算机网络提供相应的保护，将其应用到计算机网络安全维护中，能够切实提高网络的安全性。

1 入侵检测技术概述

入侵检测技术是以保障计算机系统安全而设置的一种计算机技术，能够发现并报告计算机系统中出现的未经授权现象或者异常状况，能够帮助工作人员对计算机网络中存在的，违法相关安全策略的行为进行检测。入侵检测技术实现的方法有很多，如基于专家系统的入侵检测、基于神经网络的入侵检测等，一般情况下，入侵检测都是通过执行相关任务的方式来实现，具体包括：

（1）对计算机用户的行为以及计算机系统的活动进行全面监视和分析；

（2）对计算机系统的构造和存在的薄弱环节进行审计；

（3）对已知进攻活动模式进行识别和反映，并且相关相关人员发出报警信息；

（4）对计算机系统的异常行为模式进行统计和分析；

（5）对重要系统以及相关数据文件的完整性进行评估；

（6）对计算机操作系统进行相应的审计跟踪管理，准确识别用户在操作系统过程中存在的违反安全策略的行为。

入侵检测技术模型可以分成两种：一种是异常检测模型（AnomalyDetection），主要是对计算机系统本身行为与可接受行为之间存在的偏差进行检测。若能够对每一项可接受行为进行定义，则对应的不可接受行为就是入侵。在异常检测模型中，需要先对正常操作应该具备的特征进行总结，形成相应的用户轮廓，一旦发现用户活动和正常行为产生重大偏离，则认为出现了入侵。这种检测模型的漏报率较低，但是误报率高，在实际应用中，并不需要针对每一种入侵行为进行定义，因此能够比较有效的监测未知入侵；另一种是误用检测模型（MisuseDetection），该模型主要是检测计算机行为和已知不可接受行为之间的匹配度，若对所有不可接受行为进行定义，则每一种能够与之匹配的行为都会引发告警。通过对非正常操作行为特征的收集，可以建立起相应的特征数据库，一旦检测到用户行为或者系统行为与特征数据库中的记录匹配，则会自动认定该行为为入侵。误用检测模型的误报率低，不过漏报率高，在面对已知类型的攻击时，能够精准详细地报告出攻击类型，但是在面对未知攻击时，效果十分有限，同时想要保证模型的应用效果，需要不断对特征数据库进行更新。

2 计算机网络入侵的形式

2.1 病毒入侵

病毒入侵是互联网中最为常见的入侵形式，主要表现在浏览器入侵，病毒会隐藏在部分浏览器网页或者应用中，当用户访问时，会在系统中植入病毒，以相应的程序指令或者代码为依据，记录、复制或者修改、删除系统文件的内容，使得计算机运行出现错误，威胁计算机的使用安全。

2.2 防火墙入侵

防火墙本身是计算机网络中最为常见的防御形式本身的防御性很强，但是在实际应用中也存在一定的缺陷和问题，导致用户在访问外部网络的过程中，可能遭遇病毒或者黑客的入侵问题。

2.3 身份入侵

在计算机网络运行中，网络服务的获取一般需要用户发送相应的指令，由防火墙对用户身份进行识别后，设置对应的访问权限。而部分黑客可能会伪造用户身份对网络进行访问，借助用户的身份甚至管理员身份来获取较高的权限，对系统数据进行盗取、更改或者删除，严重威胁网络安全。

2.4 拒绝服务攻击

拒绝服务攻击会对网络带宽或者网络设备的内存产生占用，继而导致系统停止响应甚至崩溃。拒绝服务攻击的方式有两种，一种是对系统内部的资源进行破坏，影响用户的使用，如破坏或者摧毁信息，删除文件，对磁盘进行格式化等；另一种是消耗资源或者过载系统服务，导致其他用户无法使用该服务。这两种情况多是用户错误或者程序错误导致，并不是针对性攻击，真正针对计算机网络的拒绝服务攻击包括了消息流攻击、服务过载攻击、SYN Flooding攻击以及Mailbomb 攻击等。

3 公安计算机网络存在的安全问题

3.1 移动存储管理不当

当前，公安部门对于移动存储介质的管理不到位，公安民警尤其是很多基层民警在工作中，经常会出现将同一个移动存储介质在公安内网和互联网之间共用，进行数据下载或者传输，这种情况下，很容易将互联网中的病毒和木马程序代入到公安内网中。同时，也有部分公安机关工作人员缺乏信息安全意识，在一些存储有机密信息的移动存储介质损坏后，将其送到外部的维修机构进行维修，甚至存在着随意出借涉密信息移动存储介质的行为，严重影响了计算机网络信息安全。

3.2 系统账号管理不严

对系统账号进行严格管理，可以避免计算机网络信息窃取泄密风险，不过从目前来看，公安部门计算机网络信息保密管理中，一般只是强调对涉密文件的内容保密，缺乏对用户账号的严格管理，虽然上级公安部门对公安内网信息的查询、数据录入等环节引入了数据证书，但是其并没有能够取得理想的效果，部分基层民警没有认识到其重要性，而且为了方便记忆，没有对数据证书的密码进行更改，在部门内部共同使用初始密码，安全性大大降低。

3.3 技术保障投入不足

计算机网络信息安全涉及硬件和软件两个层次的内容，对于硬件而言，因为资金投入不足，不少基层公安部门的计算机系统中并没有安装存储介质消磁、防电磁辐射屏蔽等专业设施，对于一些出现故障的设备，公安机关也无法自行处理，需要送到外部维修机构进行维修，容易出现信息泄露风险；对于软件而言，公安内网中使用的计算机没有配置最新的杀毒软件和防火墙，在面对病毒和木马程序的入侵时，无法起到预期的防护效果。

4 入侵检测技术在计算机网络安全维护中的应用

4.1 明确技术应用流程

从目前来看，因为计算机网络安全维护工作以往采用的都是被动式的维护方式，在出现问题后才去进行分析和解决，入侵检测技术在工作中应用的时间很短，因此很多时候，只是借助单一的数据收集和整理来确定是否存在有网络入侵行为并对其进行解决，以提高系统的完整性和安全性。结合当前的实际情况，计算机网络中依然存在很多安全漏洞，为了对这些问题进行解决，在将入侵检测技术引入到计算机网络安全维护环节的同时，也应该做好相应的知识库建设，针对系统操作历史行为进行分析，收集入侵操作的特定行为模式，对照其他相关因素实施入侵检测分析，提出具体明确的网络安全策略。入侵检测技术应用流程如图1 所示。从技术人员的角度，在开展网络安全维护的过程中，可以利用入侵检测分析引擎来对系统和用户的行为进行检测，将检测结果和相应的安全策略对比，判断是否存在有入侵行为。如果不存在，会重复行为分析-策略对比这一循环，为计算机网络的运行安全提供良好支撑。在实际操作中，还必须针对检测到的入侵信息进行准确记录，及时提醒管理人员进行处理，最大限度地保障系统安全。

4.2 关注技术应用要点

4.2.1 做好信息收集

在针对相关信息进行收集的过程中，应该对数据源进行分析，保证数据收集的全面性和有效性，并对数据进行分类处理，从中选择计算机网络的日志数据以及系统文件变化数据，将其作为入侵检测的重要依据。考虑到数据信息的类型多种多样，技术人员在对入侵检测技术进行应用时，应该做好IDS 代理的合理设置，进一步提升信息采集的效率和效果，搭配集线器来强化网段连接。网络接入环节，可以利用交换机芯片接口进行调试，一些重要数据输入输出接口还需要设置入侵检测装置，以保证数据收集的有效性。对于网络中存在的关键节点，需要对照具体的检测目标，确定好入侵检测的范围。从实际操作的角度，技术人员可以选择相应的孤立点挖掘算法，从海量数据信息中，提取出不常见的数据信息，对这些信息进行单独处理，为入侵检测引擎的稳定高效运行提供良好支撑。

4.2.2 做好信息分析

计算机网络数据传输采用的多是TCP/IP 协议，这种传输控制系统十分复杂，同时也要求技术人员能够掌握，这样在应用协议的过程中，能够及时发现数据传输问题，对问题进行分析和解决，确保数据可以安全地抵达目标地点。对于技术人员而言，在监测网络数据包的过程中，必须对入侵监测引擎的作用进行明确，必要时对数据旁路进行监听，这样可以在第一时间发现系统中存在的异常数据，并且发出警示信息，提醒网络安全维护人员进行处理。而在针对数据信息进行分析时，比较常用的方式和手段，包括异常发现、模式匹配等，其能够帮助工作人员发现网络中存在的安全隐患，确保其及时对异常数据进行分析和处理。在实践环节，入侵检测信号的处理非常关键，处理前需要对监测数据进行处理，将之存入系统日志文件，以免处理过程中错误的修改正常数据。

4.2.3 做好信息响应

在做好必要的网络入侵检测工作滞后，要求IDS 代理可以及时响应。计算机网络中设置IDS 的主要目的，是检测本地网段，依照相应的数据分析结果，对网络系统中存在异常的数据包进行查找和分析，找出网络入侵行为并对其进行处理。而从系统能够做出的响应分析，信息响应包含了网络引擎通知及告警，例如，可以向控制中心发出告警信息，通过电子邮件等方式，向负责人发送网络安全警告。通过实时通话的方式，信息响应也可以引导控制中心在第一时间查看告警信息，做好现场记录工作，利用安全事件和会话过程记录来确保计算机网络安全维护工作的顺利实施。从实际操作的角度，入侵检测就似乎的应用，的确能够发现计算机网络中存在的异常数据和异常行为，但是在信息响应方面，依然需要提前做好入侵程序的编写，保证程序和安全策略逐一对应，为计算机网络安全维护提供可靠的技术支撑。

4.2.4 做好安全隔离

在计算机网络安全稳定运行中，防火墙能够有效的阻止外部入侵行为，在配合入侵检测技术的情况下，能够实现对网络风险的有效防范。以此为基础，可以启动防火墙来控制网络层和应用层访问，将双方优势充分发挥出来。在实际操作中，入侵检测技术的应用还应该依照约定好的规则，做好必要的开放接口设计工作，通过这样的方式，可以在约定规则的影响下，实现防火墙和入侵检测装置之间的信息交流与传递，确保端口设置的合理性。防火墙可以对照制定好的相关规则，就入侵检测系统传输的数据包进行分析，从中剔除无法满足相应授权要求的数据，并且基于滤除后的数据包，构建入侵信息样本数据库，对一些不符合规则的数据信息，需要发出警示响应，引导用户采取有效的防护措施来切实保障网络数据信息安全。

5 结语

总而言之，信息化时代背景下，计算机网络安全维护工作非常重要，对于公安部门而言，需要对潜在的网络风险有清晰的认识，明确计算机网络安全管理中存在的各种问题，将入侵检测技术应用到计算机网络安全维护工作中，把控好系统数据信息，确保有价值的信息能够被顺利接入到系统中，规避非法入侵问题。以入侵检测技术为支撑，网络防火墙可以将自身的功能充分发挥出来，增强计算机整体的安全性，实现网络技术在公安机关的合理应用。