陈智勇
(武警湖南省总队参谋部,湖南 常德 415000)
网络入侵检测与防御系统是指技术人员采用网络入侵检测技术和网络防御技术对计算机系统进行安全防护的一种方式。技术人员通过在计算机系统上安装相应的软件和硬件,对可能发生的各类攻击行为进行识别;通过入侵防御系统的处理机制,对网络攻击行为进行拦截、阻断、记录等一系列的安全处理。在互联网环境下,企业如果缺乏有效的入侵检测与防御手段,一旦被非法用户窃取或修改数据,将会对企业造成十分严重的后果和影响。因此,相关技术人员部署网络入侵检测与防御系统时,需要对其进行检测与部署。
数据获取主要是通过对大量的历史数据进行收集、处理和分析来提取出有价值的信息。技术人员通过这些信息来建立网络安全系统中的入侵检测与防御模型。同时,技术人员还需要根据不同种类的数据源,获取与之相对应的不同数据类型来丰富系统。
针对网络入侵检测与防御领域,贾伟峰[1]提出了一种基于深度学习算法构建入侵检测与防御的模型。本文主要对这种基于深度学习的网络入侵检测与防御模型进行分析与讨论。在这一模型中,技术人员首先需要提取出训练集中包含有价值信息的特征向量;其次,将这些特征向量输入训练好的神经网络中进行学习和训练,以得到最优的网络模型参数;最后,对网络模型的输出结果进行统计,得到一个输出结果的概率分布,以此为依据来判断当前的入侵行为是否被检测到。
在传统的机器学习方法中,技术人员往往通过使用一些人工设计的特征向量。特征向量中包含了特征的描述信息,不同特征之间也存在一定的相关性。这些人工设计的特征向量存在着一些不足:比如在面对大规模数据时,人工设计的特征向量无法充分挖掘出数据中所蕴含的全部信息。这就导致在机器学习领域中,入侵检测与防御领域的深度学习模型无法达到理想效果。本文所采用的基于深度学习的网络入侵检测与防御系统的模型,能够更加适配于大部分特征向量,从而在检测深度和防御效果等方面更具优势。
网络数据包捕获是入侵检测技术的基础,其中主要包括:网络通信协议和主机接口两个方面。首先,网络通信协议主要包括:TCP、UDP、ICMP和IPX/SPX等。这些协议能够在不同网络之间实现数据传输与通信,因此网络数据包必须对这些协议进行捕获。目前,常用的网络数据包捕获方式主要分为:驱动程序方式和协议方式两种。在驱动程序方式下,当操作系统或应用程序调用了某些特定的接口函数时,会被相应的驱动程序自动地捕捉到这些接口函数,从而实现对数据包的捕获;在基于协议方式下,系统在每次执行一个新的协议时都会自动地对网络通信进行检测,从而实现对数据包的捕获。由于前者往往比后者更高效、更准确,因此在实际中大多数的入侵检测系统都是采用基于驱动程序方式进行数据包捕获[1]。
特征提取是指从网络数据包中提取出一些关键信息,然后将其应用于入侵检测系统中。特征提取的基本过程包括:(1)获取网络数据包并进行预处理,将其转化为统计性数据;(2)对这些数据进行预处理,使之适合入侵检测;(3)对预处理结果进行统计分析,以获得特征值;在这3点中,对于预处理结果进行统计分析是整个过程的关键之处。根据不同的应用类型,可以将特征提取分为:基于包、基于流、基于协议和基于特征4种类型[2]。
入侵分析是从网络数据包中检测出有价值的信息,并进行进一步分析,以便在网络受到恶意入侵时能够迅速地做出反应与拦截。入侵分析可以分为两个主要步骤:(1)从网络数据包中提取特征;(2)对提取出的特征进行匹配并将结果传送给响应处理。
入侵分析主要是从网络数据包中提取出的特征进行匹配,通过这些特征对恶意活动进行识别,从而发现潜在的入侵行为。另外,入侵分析也可以通过异常检测技术实现,利用系统调用和应用程序调用对系统状态进行实时监测,一旦发现异常行为时就会发出警报[3]。
响应处理是指系统对入侵攻击进行识别和判断后,将检测到的入侵事件上报给网络技术与安全管理人员,以便相关技术人员能够快速作出相应的处理措施。
由于网络上存在多种类型的攻击,如:拒绝服务攻击、欺骗攻击、信息泄露攻击等。因此,在入侵检测系统响应处理阶段,系统要对多种类型的攻击进行识别。此外,由于网络中存在多种不同类型的数据包,系统也需要对这些数据包进行专门的分析与识别。此外,响应处理系统还需要对数据库进行实时更新,以便能够在入侵事件到来时第一时间作出判断和响应。
入侵检测系统的评价标准是对入侵检测系统的性能进行效果评价的重要依据,因此技术人员需要对整个系统建立起一套科学、合理的评价标准体系。入侵检测系统的评价体系主要包括以下几个方面:(1)可靠性。可靠性是指检测系统在出现异常情况时,能够正确地进行响应,并将相应的数据包返回给用户。(2)效率。效率是指系统在检测出异常情况后,能够准确地将数据包返回给用户,并将相应的响应发送到用户终端,同时保证一定的响应速度。(3)安全性。安全性是指入侵检测系统能够及时地将异常情况报告给网络安全管理人员,并将相应的数据包返回给用户。(4)可扩展性。可扩展性是指系统能够根据实际情况增加新的功能,以满足网络发展的需要。
入侵检测系统的设计主要包括:网络拓扑结构设计、功能模块设计、数据库设计、程序界面设计和系统接口设计等。一般来说,入侵检测系统的核心功能是对网络流量数据包进行分析,并将分析结果发送给相应的管理人员,然后进行决策。网络拓扑结构主要由数据采集层、网络传输层和数据分析层构成,各部分的功能如下:(1)数据采集层:负责对网络数据包进行捕获和处理,并将检测结果发送给网络传输层;(2)网络传输层:负责发送收到的检测结果;(3)数据分析层:负责对接收到的检测结果进行分析,并将结果发送给相应的管理人员;(4)数据库设计:负责系统的数据库管理,包括对数据包的处理和发送。(5)程序界面设计:负责控制整个系统的运行,包括对各个模块进行设置、调用等操作。
入侵防御模块包括:协议分析、统计分析、入侵防御、异常检测和数据存储等模块。具体细化为:(1)协议分析模块的主要功能是提取系统日志文件中的协议信息,然后根据这些协议信息提取相应的网络协议特征,如端口、协议类型等,并对这些特征进行过滤。(2)统计分析模块的主要功能是对系统日志文件中的数据进行统计和分析,以检测网络攻击行为。(3)入侵防御模块采用多层联动机制来实现对网络攻击的防御。(4)异常检测模块主要是对网络流量进行统计,发现其中存在的异常行为。(5)数据存储模块主要是对系统日志文件中的数据进行存储和管理,为入侵防御模块提供数据支持。
日志记录模块是负责记录系统和用户在各种网络安全事件中产生的事件和数据。该模块主要记录用户在安全事件发生后的相关操作,并对这些操作进行统计。系统管理员可以通过日志记录模块来查看当前系统的安全状态,以便更好地了解系统的运行状况,并采取相应的措施,以加强对网络的管理。
日志记录模块分为3个子模块:日志采集子模块、日志统计子模块和日志存储子模块。其中,日志采集子模块主要完成对系统事件和用户事件的采集,并将采集到的数据进行汇总,保存到数据库中。而日志统计子模块则是对存储在数据库中的数据进行统计和分析,以便管理员能够及时了解系统目前运行情况。
中央控制模块主要负责整个系统的运行状态和异常数据的处理。中央控制模块主要由系统管理员、日志管理系统、日志分析系统等组成。当检测到异常数据时,中央控制模块会自动将该异常数据记录下来,并在日志分析系统中显示出来。中央控制模块一旦发现未授权的用户进行非法操作时,中央控制模块会根据用户身份将其隔离,并将该用户标记为拒绝服务状态。如果是由于病毒入侵引起的,中央控制模块会自动向日志分析系统发出警报,并通过网络进行报警。如果是由于系统配置错误引起的,中央控制模块会将配置错误信息上报给日志分析系统,并通知管理员。
网络入侵检测与防御系统与入侵检测技术有所不同,它是一个分布式的安全防御系统。本文设计的网络入侵检测与防御系统主要是通过Socket通信模块进行数据交换,可以实现对来自不同模块的信息进行交换,并可以进行数据包的收发。当Socket模块接收到来自网络入侵检测与防御系统的请求后,首先向系统主程序发送一个查询信号,然后系统主程序根据查询信号中的消息来执行相应的功能,以完成对网络入侵检测与防御系统请求的响应。对于不需要的处理操作,系统主程序可通过网络流量监控模块对其进行监视,当流量出现异常时,会通过告警模块向用户发送告警消息。
(1)入侵检测系统是一种基于网络的入侵检测和报警系统,主要是对网络中传输的数据包进行检测、分类、过滤,并通过报警信息发送到控制台。
(2)防火墙是入侵防御系统的重要组成部分,其主要是对网络和网络数据包进行拦截,并将其拦截下来,再通过系统的处理机制进行处理,达到网络安全防护的目的。
(3)数据库是入侵防御系统的重要组成部分,其主要是对系统中的数据信息进行记录、保存,以便日后分析使用。
技术人员通过分析和研究各种网络入侵检测与防御系统的部署方式,可以对网络入侵检测与防御系统进行合理的部署。通常情况下,企业需要根据自身的网络环境和业务需求,制定相应的网络安全策略,并部署相应的入侵防御系统,对网络进行防护。
(1)在安全策略部署过程中,技术人员可以利用防火墙,对入侵防御系统进行拦截和阻断。(2)技术人员通过部署入侵防御系统与入侵检测系统,将网络安全防护措施构建成一个完整的体系结构。(3)技术人员利用入侵防御系统与安全审计系统相结合的方式,实现对网络安全状态的实时监控和记录。(4)技术人员利用入侵防御系统进行网络资源分配和管理,实现对网络资源的集中管理和分配。
边界防御部署主要是针对一些规模较小的网络,在这种情况下,技术人员可以将入侵防御系统部署在网络边界,此种方法无需将所有的数据流量都汇集到核心网络中,只需将一些重要的数据流量汇聚到边界处就可以进行。在这种情况下,入侵防御系统可以有效地对一些常见的攻击行为进行识别,并对其进行拦截和阻断。此外,边界防御还可以对入侵防御系统进行集中管理和控制,并且能够实时监控整个网络的运行情况。边界防御系统还具有良好的扩展能力和灵活性,可以根据实际需要增加网络拓扑结构和数据流量,从而形成一个完整的边界防御体系。
混合防御部署是指将传统的防火墙与入侵防御系统相结合,形成一个更强大的安全保护系统。混合防御部署可以在不改变原有网络架构的基础上,充分发挥两者各自的优势。首先,入侵防御系统可以为防火墙提供强大的数据包过滤功能,这样就可以防止来自外部的非法数据进入企业内部网络,同时还可以对内部网络中的流量进行实时监控,一旦发现异常流量就会立即将其拦截。其次,防火墙与入侵防御系统都具备强大的处理能力,通过这种方式可以有效地提高整个网络系统的安全性。因此,这种混合部署方式也是目前比较流行的一种部署方式,是目前企业中较为常见的一种部署方式。
综上所述,网络安全防护是一个极为复杂的系统性工程,入侵检测与防御系统是其中不可或缺的组成部分,其综合性能的高低直接关系到整个系统的安全。本文所讨论的基于深度学习的入侵检测系统主要是针对传统的网络安全技术而言,因此在其自身性能还存在一定的缺陷时,需要引入新的技术和方法。在实际的应用过程中,技术人员必须结合具体情况,有针对性地对入侵检测系统进行改进。