在網(wǎng)絡(luò)安全中IDS技術(shù)的應(yīng)用

1、在網(wǎng)絡(luò)安全中IDS技術(shù)的應(yīng)用摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)的安全問(wèn)題就成了全球的一個(gè)突出問(wèn)題。而入侵檢測(cè)是網(wǎng)絡(luò)安全和信息系統(tǒng)安全當(dāng)中最重要的技術(shù)手段本文介紹了網(wǎng)絡(luò)安全的一些問(wèn)題，并且分析了網(wǎng)絡(luò)安全的防范技術(shù)，并著重探討了入侵檢測(cè)技術(shù)，給出了入侵檢測(cè)系統(tǒng)的概念以及工作流程。關(guān)鍵詞：網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)網(wǎng)絡(luò)安全1關(guān)于入侵檢測(cè)技術(shù)目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會(huì)帶來(lái)巨大的損失。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)；給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有

2、聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。winCE操作從最初發(fā)展至今，其版本主要有1.0、2.0、3.0、4.0、5.0和6.0,作為業(yè)內(nèi)領(lǐng)先的軟件工具，其區(qū)別于桌面操作系統(tǒng)的最本質(zhì)的特點(diǎn)，一是可裁減性；二是可移植性。winCE具有可靠性好、實(shí)時(shí)性高、內(nèi)核體積小的特點(diǎn)，被廣泛應(yīng)用于各種嵌入式智能設(shè)備的開(kāi)發(fā)中從手持電腦到專門的工業(yè)控制器及消費(fèi)電子產(chǎn)品中等，如:互聯(lián)網(wǎng)協(xié)議(IP)機(jī)頂盒、全球定位系統(tǒng)(GPS)、無(wú)線投影儀，以及各種工業(yè)自動(dòng)化、消費(fèi)電子以及醫(yī)療設(shè)備等。IDS是英文“I

3、ntrusionDetectionSystems的縮寫，意思就是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全防護(hù)的一個(gè)重要組成部分，它是安全審核中的核心技術(shù)。所謂的入侵檢測(cè)就是對(duì)入侵行為的檢測(cè)，是一種用來(lái)檢測(cè)違規(guī)的一種機(jī)制。通過(guò)對(duì)網(wǎng)絡(luò)行為、審計(jì)數(shù)據(jù)和安全日志、計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息以及其他網(wǎng)絡(luò)上可以獲得的信息的收集和分析,以此來(lái)檢查網(wǎng)絡(luò)或系統(tǒng)是否存在被攻擊的跡象和違反安全策略的行為。作為一種主動(dòng)地安全防護(hù)技術(shù)，入侵檢測(cè)系統(tǒng)提供了對(duì)于內(nèi)部和外部的攻擊以及誤操作的實(shí)時(shí)性保護(hù)，以便在網(wǎng)絡(luò)系統(tǒng)受到危害之前能夠及時(shí)的攔截和響應(yīng)入侵。入侵檢測(cè)是通過(guò)對(duì)監(jiān)視、分析用戶以及系統(tǒng)的活動(dòng)、異常行為模式的統(tǒng)計(jì)分析、系統(tǒng)

4、構(gòu)造及弱點(diǎn)的審計(jì)、操作系統(tǒng)審計(jì)跟蹤和管理并且識(shí)別用戶違反安全策略的行為等任務(wù)來(lái)實(shí)現(xiàn)的。入侵檢測(cè)技術(shù)是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)，為了保證計(jì)算機(jī)系統(tǒng)的安全而精心設(shè)計(jì)和配置的能夠及時(shí)發(fā)現(xiàn)和報(bào)告系統(tǒng)異常和未授權(quán)現(xiàn)象的技術(shù)。違反安全策略的行為通常有入侵和濫用，入侵指的是非法用戶的違規(guī)行為，濫用指的是合法用戶的違規(guī)行為。入侵檢測(cè)系統(tǒng)利用審核記錄能夠識(shí)別出任何不希望有的活動(dòng)，以達(dá)到系統(tǒng)安全的目的。如果能夠較好地應(yīng)用入侵檢測(cè)系統(tǒng)，就能使在系統(tǒng)被入侵和攻擊產(chǎn)生危害之前，檢測(cè)到入侵攻擊，并且利用報(bào)警和防護(hù)系統(tǒng)對(duì)入侵攻擊進(jìn)行驅(qū)逐。在入侵攻擊的過(guò)程中能夠減少所造成的損失。在被入侵攻擊之后，通過(guò)對(duì)

5、相關(guān)信息的收集，填入知識(shí)庫(kù)作為防范系統(tǒng)的知識(shí),可以增強(qiáng)系統(tǒng)的防范能力。2入侵檢測(cè)的技術(shù)方法目前，數(shù)據(jù)的挖掘技術(shù)已經(jīng)廣泛地在各個(gè)領(lǐng)域內(nèi)發(fā)展應(yīng)用。數(shù)據(jù)挖掘通過(guò)挖掘提取大量數(shù)據(jù)中的知識(shí)，應(yīng)用于入侵檢測(cè)系統(tǒng)，可以從大的審計(jì)數(shù)據(jù)提取入侵行為模式。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)當(dāng)中可以廣泛地通過(guò)審計(jì)數(shù)據(jù)來(lái)得到模型，從而精確地獲得正常的行為模式和實(shí)際的入侵。這種方法極其自動(dòng)化，不需要再手工分析和編碼入侵模式，而且在創(chuàng)建數(shù)據(jù)庫(kù)時(shí)不需要像以前一樣憑借經(jīng)驗(yàn)來(lái)選擇統(tǒng)計(jì)方法。而且它還可以把相同的數(shù)據(jù)挖掘工具應(yīng)用在多個(gè)數(shù)據(jù)流中從而更有利于構(gòu)建適應(yīng)性強(qiáng)的入侵檢測(cè)系統(tǒng)。3網(wǎng)絡(luò)安全問(wèn)題分析在一些單位的局域網(wǎng)中往往都存在這一些網(wǎng)

6、絡(luò)安全的問(wèn)題，這其中最主要面臨的還是網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和網(wǎng)絡(luò)設(shè)備的危害。比如說(shuō):病毒的破壞，病毒的形式多種多樣，主要有蠕蟲(chóng)、木馬程序以及惡意的腳本等等；還有操作系統(tǒng)的安全問(wèn)題；遭受非法入侵以及惡意的破壞不良信息的傳播；以及技術(shù)之外的問(wèn)題等等。面對(duì)這些問(wèn)題，一般要從一下的幾個(gè)方面來(lái)應(yīng)對(duì)：第一是對(duì)于網(wǎng)絡(luò)病毒的防范；第二是網(wǎng)絡(luò)安全的隔離;除以上兩點(diǎn)還有要采取的相應(yīng)安全監(jiān)控措施；修補(bǔ)網(wǎng)絡(luò)安全漏洞;數(shù)據(jù)的備份和恢復(fù)；對(duì)于有害信息的過(guò)濾等等。4入侵檢測(cè)的分類入侵檢測(cè)的分類有幾種不同的形式，按照檢測(cè)的時(shí)間我們可以把它分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)這兩種。如果按照分析方法來(lái)分通常可以分為誤用檢測(cè)和異常檢測(cè)這

7、兩大類型。一般一句帶分析的數(shù)據(jù)來(lái)源會(huì)把入侵檢測(cè)分為基于網(wǎng)絡(luò)和基于主機(jī)的兩大類。按照系統(tǒng)的結(jié)構(gòu)又可以分為分布式入侵檢測(cè)和集中式入侵檢測(cè)這兩種。還有一種是按照工作方式來(lái)進(jìn)行分類的，可以分為離線檢測(cè)和在線檢測(cè)。5入侵檢測(cè)系統(tǒng)的工作原理其實(shí)這個(gè)系統(tǒng)是一個(gè)典型的窺探設(shè)備”。它并不跨接多個(gè)物理網(wǎng)段，只需要在網(wǎng)絡(luò)上被動(dòng)地收集報(bào)文即可。在此基礎(chǔ)上，入侵檢測(cè)系統(tǒng)通過(guò)對(duì)收集來(lái)的報(bào)文提取相應(yīng)的流量統(tǒng)計(jì)特征值，然后利用內(nèi)置的入侵知識(shí)庫(kù)和這些特征進(jìn)行智能分析比較匹配。最后根據(jù)預(yù)設(shè)好的閾值如果這些報(bào)文流量匹配耦合度比較高則會(huì)被認(rèn)為是進(jìn)攻，那么入侵檢測(cè)系統(tǒng)將會(huì)根據(jù)相應(yīng)的配置警報(bào)或者進(jìn)行一定限度的反擊。而入侵系統(tǒng)工作的流程大

8、概分為三個(gè)步驟：第一是信息收集；第二是信號(hào)分析第三是實(shí)時(shí)記錄。6結(jié)論網(wǎng)絡(luò)安全問(wèn)題的日益突出，使得入侵檢測(cè)技術(shù)的研究備受人們的關(guān)注。基于此，人們對(duì)數(shù)據(jù)挖掘入侵檢測(cè)技術(shù)進(jìn)行了大量深入的研究。IDS的應(yīng)用已經(jīng)全面深入到網(wǎng)絡(luò)安全當(dāng)中。網(wǎng)絡(luò)安全的問(wèn)題雖然已經(jīng)得到了改善和發(fā)展，但是網(wǎng)絡(luò)今后的進(jìn)一步發(fā)展勢(shì)必會(huì)給黑客攻擊手段再次提供新的手段，所以大量的研究工作和挑戰(zhàn)仍然需要去解決。參考文獻(xiàn)張興東，胡華平，況曉輝,等.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與發(fā)現(xiàn)J.計(jì)算機(jī)工程與科學(xué)，2009,26(4):23-24.JamesStanger,PatrickTLane.Linux鐘日紅，宋建才譯.黑客防范開(kāi)放源代碼安全指南M.北京:機(jī)械工業(yè)出版社,2011: