◆胡嘉俊 张勇 胡国良
入侵检测技术在计算机网络安全中的运用研究
◆胡嘉俊 张勇 胡国良
(国家计算机网络与信息安全管理中心湖南分中心 湖南 410001)
现阶段网络环境成了人们关注的重点,计算机网络安全成为人们使用计算机网络时首先考虑的重点,由此也说明了有效运用入侵检测技术的必要性与重要性。本文分析了该技术在运用过程中出现的主要问题,并在入侵检测系统选择、加密流量处理、入侵检测能力提升等三个方面提出了切实可行的运用策略,旨在为用户加强计算机网络安全维护提供有益的参考。
计算机网络;入侵检测技术;安全维护;运用策略
我国经济近几年一直处于飞速增长阶段,社会信息化也逐渐趋于完善,计算机技术在人群中得到普及和推广,人们利用互联网能够更为便捷地从事各种活动,如购物、学习、浏览新闻等等,能够在足不出户的情况下获取丰富的信息。在网络环境中,每一天都会产生大量的互联网信息,众多的应用、存储和数据计算等成了人们生活中的常客。在网络为人们带来方便的同时,网络安全问题也值得我们每个人关注。由于不同用户所掌握的网络知识不完全相同,对网络安全的认识也具有差异性,当计算机网络的安全级别较低时,网络漏洞就会被别有用心的人所利用,这种情况下垃圾邮件发送、木马篡改数据、DDoS攻击等非法入侵行为将会不可避免地出现,并有可能致使个人、机构或国家遭受难以挽回的损失。传统的安全防护手段如防火墙、信息加密等已经满足不了当前的需求。入侵检测作为一项重要的动态安全防护手段应运而生,有效地填补了之前安全防护技术的不足之处,开启了防火墙之后的第二道防火线,各种规模的入侵检测系统广泛应用于企业和政府中,入侵检测技术已成为一个重要的课题,成为抵御网络入侵的重要手段。
从本质上来说,入侵检测系统就是一种安全防护系统,它能够对非法使用计算机与网络资源的意图进行识破,继而采取有效的干预措施,以阻止一些恶意行为的发生。入侵检测技术所发挥的作用主要有以下几种,一是判断计算机系统是否会受到外部威胁,对某种行为是否得到用户授权进行识别;二是对未授权或其他非法行为进行检测与报告,从而构建一道牢固的安全屏障,让用户较为放心地利用网络资源开展各种活动。入侵检测系统主要由两大部分构成,其一是计算机硬件,其二为入侵检测软件。
异常入侵与误用入侵是入侵检测技术的主要检测对象,这两者都属于行为范畴。在识别异常入侵与误用入侵之前,入侵检测系统需要充分明确异常行为的判断依据,以及如何区分正常行为与异常行为。异常检测首先为对象的正常行为创立行为轮廓,一旦系统发现某种行为明显不同于正常行为,即可将其判定为入侵行为。异常入侵检测能够对计算机可能遭受的攻击进行预测,但该技术在异常基准值确定、正常行为轮廓模型建立等方面具有较大难度,因而产生了不低的误报率。在检测误用入侵行为之前,入侵检测系统应当明确一些规则,也就是说所有的入侵都能够被表达为模式或特征,若判定审计数据中出现了这些被定义好的模式则将其视为入侵。误用入侵检测主要在于如何表示入侵的特征以准确无误地区分入侵行为和正常行为,该方法的亮点是能够明确地标出入侵的类型,而且正确率较高,误报的概率明显偏低。但其突出的弊端是漏报率往往居高不下,因为它只能发现已有的攻击,对系统中的未知攻击却束手无策;实时更新与维护特征库也比较困难。异常入侵检测和误用入侵检测这两种检测各有其优点和不足之处,因此,在实际使用中往往联合使用这两种方法。
(1)应用方式较单调
这一问题容易导致计算机网络的安全性能明显降低。就现阶段而言,应用于计算机网络中的入侵检测技术以检测相关特征为主,其防御及时性有所不足,这种单调的应用方式往往对计算机网络的安全性造成了不利影响。另外,该技术仅只能分析与检测与其直接相连的网段,不能检测不同网段的网络信息,所以它真正检测的网段是很有限的,这就导致入侵检测技术在计算机网络安全监测中有很大的局限性。再者,入侵检测技术在实际应用过程中所产生的误报率也是无法得到有效控制的。所谓误报,是指该技术将一些特征不太明显但却经过用户授权的行为判定为非法行为或异常行为。实际上,任何一种入侵检测系统都会误报,这是由多种因素导致的,如集中协调机制不健全、主机安全级别较低、网络漏洞较多、信息共享标准机制缺失、系统跟踪分析数据信息的能力不强等等。
(2)数据处理能力不足
一般来说,用户在利用计算机和网络资源开展各种活动的过程中,定然会产生多样而繁杂的数据信息,为避免其中一些重要的数据信息遭到篡改、泄露或丢失,有必要应用有效的加密处理技术。然而从现实中不难发现,在构建入侵检测系统以后,计算机网络的安全性能并未得到显著提升。由于入侵检测技术表现出较低的数据处理能力,大量数据信息难以得到加密处理,从而增加了用户隐私暴露的可能性,甚至会导致其关键数据被非法窃取。当前,上网已经成为我国居民的普遍行为,很多活动都需要在网络环境中开展,这必然会导致网络数据越积越多。因此,入侵检测技术只有注重提高识别与判断入侵行为的速度与正确率,才能充分满足用户对海量信息进行加密处理的需求。
(3)检测技术有待提高
与欧美等发达国家相比,我国计算机网络技术的发展相对滞后,因受到多种因素的影响,该领域尚未能保持最快的发展速度。因计算机网络入侵检测技术本身还不够成熟,而入侵检测系统的管理人员往往也不具备丰富的计算机知识,当一些特殊问题出现时,系统便难以充分发挥其防御作用,这种状况不仅会导致计算机网络的安全级别明显下降,而且对我国计算机网络的良性发展产生了极为不利的影响。由此说明,计算机网络入侵检测技术有待于进一步提高。通过深入分析可知,当前偏低的入侵检测技术与多种因素相关,比如检测方法的自适应能力不强,入侵检测算法不能有效阻止ATP攻击行为,未能考虑到协同攻击行为的发生,识别攻击行为时仅仅以规则库为依据,等等。
(1)采用分布式部署入侵检测系统
网络技术的发展致使网络系统的结构与规模均出现了非常大的变化,在这种状况下,若要提高入侵检测技术的应用效率,必须积极应对新的问题与挑战。当前,协同攻击、共同攻击等现象越来越突出,而网络环境中的攻击数据源又具有明显的分散性。无论是针对协同式攻击还是分布式攻击,入侵检测技术都应当快速检测攻击数据源,并基于深入分析,对攻击信息进行准确定位。单个主机所安装的入侵检测系统通常具有独立性,但在主机性能与系统自身结构的限制下,系统很难对协同式攻击行为和分布式攻击行为进行有效阻止。在分布式入侵检测系统中,管理器、分析器、数据采集器等是主要的构成部件,这些部件通过遵从协同规则从而顺利完成了入侵检测任务。从整个运行过程来看,该系统首先采集来自不同网段的入侵信息,然后对其进行关联分析,最后确定攻击数据源并采取切实有效的处理方式。分布式入侵检测系统表现出以下几种优势。一是明显扩大了检测范围;二是检测水平高于独立的入侵检测系统;三是具有良好的可扩展性,能够满足网络发展需求;四是可分析检测数据的关联性,并且提高了检测精度;五是在个别检测部件失效的前提下,仍然能够针对分布式协同攻击完成检测工作。
(2)利用机器学习人工智能技术处理加密流量
在传统模式下,入侵检测技术的应用与流量分类均需要掌握用户的隐私信息以及提取复杂的特征。最近几年,由于网络带宽得到了改善,应用层协议更加复杂,而且加密技术也在不断提高,用户更为注重保护自己的隐私信息,如果在此背景下入侵检测技术未能得到及时更新,必然不利于对加密流量的有效处理。虽然流量加密能够使用户隐私得到保护,但却给不法分子实施入侵行为提供了机会。这些人员在传输网络数据时,通过利用HTTPS等加密流量即可防止遭到系统的检测。很多特意软件借助HTTPS来破坏正常的网络环境,而大部分勒索软件家族则使用HTTPS进行传播。因此,对加密的恶意流量进行检测刻不容缓。
(3)利用数据挖掘技术提升入侵检测能力
当前,网络宽带速度在大幅度提升,与此同时大数据存储技术在众多领域得到了良好应用,基于网民不断增加,产生了越来越复杂的网络环境与难以计数的网络流量数据,因而只有提高入侵检测技术的检测能力,才能获得较为理想的用户满意度。在这方面,很多学者开展了大量的研究工作,并通过深入分析指出,引入数据挖掘技术有助于改善入侵检测系统的数据处理效果。具体而言,入侵检测系统应当利用大数据技术对海量的、不确定的、不精细的历史数据进行全面分析,然后再对某些行为特征进行提取,继而实现对流量规则库的完善。
计算机网络安全在当今社会是非常重要的,网络信息数据庞大,加强入侵检测技术才能最大程度地保障网络安全,通过加强研发和应用,既能够增强工作人员的业务素质,又能够提高入侵检测技术的智能化水平,可为构建安全级别较高的计算机网络系统奠定牢固的基础,以使我国计算机网络行业实现快速、稳定而健康的发展。
[1]赵勇. 计算机网络安全的入侵检测技术分析[J].电脑编程技巧与维护,2021(05):159-160.
[2]鹿鸣. 探析计算机网络安全的入侵检测技术[J].电子测试,2021(10):54-55.
[3]陆艳芳. 浅谈入侵检测技术在计算机网络安全维护中的应用路径[J].网络安全技术与应用,2020(03):20-21.
[4]桂江明. 探析计算机网络安全的入侵检测技术[J].信息与电脑(理论版),2020,32(01):174-175.
[5]赵华. 入侵检测技术在计算机网络安全维护中的应用研究[J].信息与电脑(理论版),2020,32(01):209-210.