网络入侵检测及防治技术.docVIP

网络入侵检测及防治技术 　　摘 要 在信息化和网络化时代，网络安全问题变得越来越重要，已经成为影响计算机技术发展的主要因素，受到了人们的广泛关注。在网络环境复杂程度不断提高的背景下，传统防火墙技术、数据加密技术等安全防护技术，已经无法满足网络安全需求，网络信息安全面临着较大的威胁，而网络入侵检测技术的出现与应用，是对传统网络安全防护技术的补充，有效增强了网络系统的运行安全性，在促进计算机技术健康、稳定发展方面发挥着重要作用 【关键词】网络入侵检测 实现过程 防治技术 计算机网络技术的迅速发展，改变了人们的生活生产方式，既为人们带来了众多便利，又提高了科技向生产力的转化效率，已经渗透到了各个行业和领域。但是，在计算机网络技术的实际应用过程中，网络安全容易受到众多因素的影响，如黑客攻击、病毒入侵、操作失误等，不利于网络技术应用优势的充分发挥，所以就需要加大对网络安全防护技术的研究力度，不断开发新的网络安全保障系统，提高计算机网络运行的安全系数 1 网?j入侵检测概念及重要作用 网络入侵检测是指通过对计算机运行情况进行时时监控，及时发觉入侵行为，并做出相应的反应动作，进而来保证网络安全。网络入侵检测的本质是一种安全管理技术，将其应用于计算机网络中，可以对不同系统源的重要节点信息进行收集分析，包括网络行为、安全日志、审计数据及外部信息等，以此作为依据，判断计算机是否处于稳定运行状态，并识别其中是否存在被攻击现象，在作出自动反应后生成检测记录和检测报告 网络入侵检测技术对于提高计算机运行的安全性具有重要意义。网络入侵检测系统相当于计算机的第二道安全闸门，补充完善了防火墙安全防护技术缺陷，在对计算机运行动态情况进行检测的同时，不会对网络性能造成影响。同时，当网络系统出现变更调整时，可以快速将变更信息及时、准确、全面的传递给网络安全管理人员，尽快实现网络系统漏洞的修补，为网络安全防护方案的制定提供可靠依据 2 网络入侵检测的分类 根据网络入侵检测依据的不同，可以将其分为误用检测和异常检测两种 2.1 误用检测 误用检测是以攻击签名作为主要依据，通过对网络入侵行为进行假定，将其表示为具体的网络语言，实现攻击签名与入侵行为特点的相照应，来判断是否存在网络入侵现象。保证攻击签名的准确性是确保误用检测有效性的首要前提，并且在对入侵行为进行网络语言设定时，必须将非入侵行为排除在外，才能对是否存在网络入侵现象进行准确判断。以攻击签名为基础的网络入侵误用检测，可以对网络入侵行为的特点、发生条件、排列关系等要素进行总结归纳，以此作为理论依据，对网络入侵行为进行预防。采用误用检测方法，可以有效提升网络安全性，但是该检测方法也存在一定的局限性，无法对未知的网络入侵行为进行准确检测 2.2 异常检测 异常检测是一种以网络网络特征量和参考阈值为主要依据的网络入侵检测方法，在应用方法的时候，先对网络行为的正常安全范围进行界定，明确其行为特点，然后将用户行为和计算机实际运行情况与之进行比较，分析两者之间的差异性，来判断是否发生网络入侵现象。网络行为特征量的选择和参考阈值的界定，是异常检测方法中的关键问题，在选择网络行为特征量的时候，既要保证其价值性和代表性，又要避免出现冗余特征量；在设定参考阈值的时候，应该保证阈值范围的合理性，避免阈值过大或者过小，提高网络入侵检测的准确率。相比于误用检测方法，异常检测可以对未知网络入侵行为进行准确检测，但是要求检测系统具有较强的处理性能，并且可以进行实时更新 3 网络入侵检测防治技术 经过长期的研究与实践应用，现阶段已经形成了多种网络入侵检测防治技术，其中应用比较广泛的主要包括以下几种类型 3.1 基于主机的入侵检测防治技术 基于主机的入侵检测防治技术，在计算机网络中的应用是比较早的，在判断是否存在网络入侵现象时，所使用的参考数据主要是计算机系统的审计、跟踪日志，对其进行分析之后生成报告，将具体网络行为表示出来。在利用该项网络入侵技术时，可根据主机数量而定，如果主机数量较少，则不需要增加专门的硬件平台，技术成本较低，同时，能够明确区分每个主机，对存在于主机系统中的网络入侵行为进行集中检测，并且可以根据网络协议，及时发现网络入侵迹象 3.2 基于网络的入侵检测防治技术 以网络为基础发展而来的入侵检测技术，是利用嗅探器等专业工具软件，来监听网络传输流量，对截获、采集得到的网络数据进行分析，结合已知网络入侵行为特征或者正常网络行为特征，来判断是否出现网络入侵现象。同时，还可以通过在重要网络节点上安装入侵检测工具，便可以对数据包载荷进行分析，准确识别网络入侵行为，并做出防御反应。该网络入侵检测防治技术具有适用性强、配置简单、检测类型多等优点，不必从操作系统中