1入侵检测技术现状
计算机网络信息技术的发展和进步在为人们带来了更多便利条件的同时,也存在很多网络安全管理问题,网络入侵行为就是其中之一。现阶段,网络入侵和攻击方式具有较强隐蔽性,也呈现出多样化特点,网络安全的主要危险因素包括黑客攻击、隐蔽通道、计算机病毒、特洛伊木马、信息丢失、逻辑炸弹、内外部泄密等,严重威胁到网络用户数据的安全性。入侵检测的作用与防火墙类似,能够对计算机应用程序、关键数据进行检测,并对入侵和攻击行为进行拦截,并向用户发出警告,发挥保护系统、数据和信息的作用。但是,入侵检测技术在应用过程中也存在很多问题,主要体现在两个方面:1)入侵检测系统存在的问题实际上,入侵检测软件本身就属于一种系统,一定会存在漏洞,因此也会在检测系统中出现入侵行为。现阶段,随着入侵和攻击技术的不断提高,很多入侵检测系统均有被攻击的危险,给系统构件带来严重损害。2)入侵检测技术存在的问题入侵检测技术本身存在的问题主要体现在两个方面,一是提取入侵模式存在缺陷,目前多数检测技术只能够对已知入侵模式进行提取和检验,针对很多隐秘性较强的入侵行为则无所适从,也就是常说的“漏警问题”。二是网速高于检测速度,导致很多攻击行为在没有被拦截的情况下就已经实现了攻击目的,给信息管理安全带来隐患。
2入侵检测技术
入侵检测技术(IDS)可根据特定安全策略,利用硬件、软件对计算机网络信息系统运行情况进行监督,发现和识别具有攻击行为的不良因素,保证网络系统的安全性和完整性。入侵检测技术是对防火墙缺点的补充,不仅可以对用户网络系统开展监督和维护,也可审计系统的可靠配置,同时识别攻击行为,并做到有效跟踪,最后向用户发出警告。
2.1入侵检测技术实施步骤
1)收集信息。入侵检测技术在网络信息管理系统中应用时,首先要对用户网络系统主要活动、日常行为及配置状态等信息进行收集。收集这些信息主要依靠分析信息关键点,进而拓展检测范围,同时根据多种信息收集渠道断定攻击行为存在的真实性。2)分析信息。通常情况下,入侵检测技术在对信息数据进行分析时,均是采取“模型匹配”方式,并将收集到的信息与数据库中原始数据进行比较,进而找出入侵和攻击行为。3)分析方法。对收集到的数据信息进行分析通常需要用到特定方法,其中完整分析法和统计分析法比较常用。根据实际情况,将不同分析方法应用在入侵检测活动中,能够保证入侵检测技术识别攻击行为的实现。
2.2入侵检测技术主要分类
根据入侵检测技术的检测目标、原理,可将现阶段网络信息管理入侵检测技术主要两大类,一类是异常检测,另外一种是误用检测。1)异常检测:①特征量选择。在开展异常检测时,为了对异常入侵行为进行有效判断,通常需要以正常状态下系统行为特点为基础,建立相应的轮廓,并在该检测系统中对其进行有效记忆,当出现异常攻击时,系统能够及时将其发现。在建立轮廓和模型时,需要正确选择与用户系统特相关的特征量,进而最大程度发挥入侵检测系统应有效果,进一步减少检测阻力;②参考阈值选择。在模拟正常情况下系统特征后,为提高入侵检测的正确性和可靠性,通常要对参考阈值进行选择。实践过程中发现,当参考阈值设置过大时,会相应增加“漏警”率。而当阈值参考值过小时,则会导致检测系统出现更多“虚警”率。因此,应在维持异常检查进程合理性的基础上,选择适宜的参考阈值,保证异常检测发挥自身最大效果。2)误用检测:应用误用检测方法的前提是保证所有攻击行为和入侵行为均能够被有效标记,也就是通过对攻击行为实施签名,进而根据标记后的签名判断攻击行为。多数攻击、入侵行为均是在网络漏洞中形成的,应用误用检测方法不仅可以完整无误的界定相关网络行为,还能准确找出这些网络行为中的攻击行为,进而形成良好的预警机制,为识别入侵和攻击行为奠定基础。同时,误用检测方法仅需完成数据采集即可实现入侵检测,进而减少应用幅度,可提升入侵检测技术整体应用效果。
3入侵检测技术实际应用案例
3.1校园网络主要安全问题分析
网络安全不断受到各种不良因素的冲击,高校也逐渐成为重灾区。通常,高校校园网基础架构是为了实现学术研究,并为学校内部通信提供方便。但随着高校的发展,校园网络系统除了要承担常规服务外,还要兼顾到教学管理和网络教学。以某高校校园网络信息管理系统为例,探讨入侵检测技术的实际应用。本校校园网络是从局域网发展而来的,基本不存在网络安全防护,而是仅仅在网络系统安装防病毒相关软件和防火墙,这种防护措施显然无法满足目前校园网络安全的需要。若系统遭到黑客攻击,或存在大量病毒,将会给校园网络系统带来很大威胁。通过检查发现,本校校园网存在以下几点安全隐患:1)缺乏网络安全管理专用设备本校存在网络经费不足现象,因此将多数经费用在关键性设施建设中,导致校园网络长期处于比较开放的环境中,且无安全预警防范措施。2)上网场所管理混乱本校网络管理存在各自为政的现状,突出体现在未设置同意网络出口及网络监控,导致无法对上网用户的身份进行唯一识别,因此存在一定安全隐患。3)网络系统中大量病毒泛滥调查发现,本校网络系统中存在大量病毒,不仅会消耗有限的校园网络资源,也会导致网络系统功能下降,进而导致重要数据丢失。该校网络中单机杀毒软件已经无法满足校园网建设需要,需要进行集中管理。4)缺少系统的安全管理制度本校网络用户安全意识比较匮乏,且每天均会产生大量非正常访问,不仅浪费网络资源,更给网络系统管理安全性带来重大隐患。
3.2入侵检测技术在校园网络信息管理中的应用
本高校是由两所大专院校组成,具有综合性,且校园分布比较分散,两个校区处于不同地理位置。另外,本高校还包括5个分院校和1个行政管理学院。因此,需要对校园网络系统防护措施进行调整。为此,设计出分布式网络入侵检测系统,主要以总校区作为网络管理核心,其他分校区行使二级网络管理,各工作站负责各自网络管理,形成“三级集中、分散管理”的大型网络部署系统。最后,确定本高校网络安全防护系统以入侵检测为主,以防火墙和抗病毒软件为辅助措施,并在此体系中建设传输层防护措施和边界防护措施,整个入侵检测系统层次较深,进而为保证校园网络系统安全性和有效性奠定基础。
3.3网络安全隐患具体解决办法
1)部署防火墙:防火墙是保证网络安全的基础性屏障,将防火墙作为控制点后,能够提高校园内部网络系统的安全性。鉴于本高校网络建设的特殊性,防火墙配置应该遵循以下几点原则:①设置安全过滤规则,对协议、源地址、端口及流向进行数据审核,禁止公网非法访问;②建立内部网络IP地址;③在局域网的入口设置防火墙(千兆),实现VPN功能;④防火墙访问日志要定时进行查看,方便发现攻击、入侵行为。2)架设入侵监测系统:在防火墙后架设IDS,能够对校园网络信息管理进行实时监控。多数情况下,入侵监测系统能够对网络系统活动进行记录,因此可以和路由器、防火墙进行配合。入侵监测系统可以对当前网络系统活动进行监控,并准确记录上网流量变化情况,根据相关规则对主机流量进行过滤,实现实时监控和报警。但是,由于入侵监测系统是通过指定规则进行检测,具有被动性。因此,需要根据本高校校园网络实际情况制定适宜规则,并对其进行科学合理的配置。3)布置网络版杀毒软件:为了有效减少校园局域网病毒感染和传播,应采取措施应对网络系统病毒。因此,我们在本高校校园网络服务器(Windows2000)中配置了网络版本杀毒系统,并在各主机节点中设置网络版本杀毒软件客户端。为进一步保证网络安全,应及时对杀毒软件进行更新。这种全面入侵检测技术可以使该高校校园网络更加安全,且具备完善的抗病毒能力,并对网络信息管理系统产生保护作用。
4结束语
计算机网络信息技术日新月异,极大的丰富了人们的日常生活。网络信息具有开放性,一定程度上也增加了人们对计算机的依赖性。目前,虽然入侵检测技术尚存在一定局限性,例如无法对所有入侵、攻击行为进行检测。但是,入侵检测技术仍然在网络信息安全管理中发挥重要作用,且能够在很大程度上减少网络入侵对企事业单位造成的损失。相信随着科学技术的不断进步,入侵检测技术必然会得到更加深层次的发展,使网络信息管理更具安全性。
作者:吴月红 单位:长沙航空职业技术学院
