计算机网络安全入侵检测技术的实践与应用

1、计算机网络入侵途径

网络入侵是指未经授权的情况下，蓄意访问或篡改信息，致使系统可靠性降低甚至瘫痪的一种行为。至于计算机网络入侵的途径尚未得到统一，在此笔者将其分为下述几类，一是经由账户、端口、漏洞扫描、Ping、网络嗅探等试探性方式以及公开工具和协议，收集、获取系统中的价值信息，并捕获漏洞，用于为后续的系统入侵做准备；二是在利用口令试探、FTP攻击、堆栈、破译工具等手段破解口令，以此获取访问权限，破坏系统；三是通过蓄意、连续、大量的访问网络，致使系统因难以承受而崩溃，从而出现服务拒绝：四是攻击者借助慢速攻击、逃遁、破坏口志、插入等手段用于隐藏身份，逃避系统检测，以此实现攻击系统却无蛛丝马迹。

2、计算机网络安全入侵检测技术的实践应用

2．1入侵检测技术
概述入侵检测技术是以维护计算机系统安全为目标，以网络入侵途径为重要依据，用于检测违反网络安全策略行为的一种积极主动的防护技术，即通过获取并分析网络行为、审计数据、安全日志等有用信息，用于检测系统或网络中是否存有异常迹象，以此作出预设响应或采取措施。
具体而言，入侵检测系统设计应基于可用性、有效性、可扩展性、适应性的基本原则，完善下述几个模块：数据采集，即先借助抓包用于捕获所需数据；数据分析，即通过协议工具解码数据包，将其置于相应的数据结构中，然后对其中的组合和分片数据予以处理，以及检测异常数据；检测响应，针对异常情况，系统会自动发出警报，用于通知管理员切断网络，阻止数据入侵；网络日志，其主要用于记录非法攻击的数据，便于人员查询和分析；规则解析，即在数据库或文件中存储特定的语法规则。

2．2入侵检测技术
应用应用于具体实践中的计算机网络安全入侵检测技术相对较多，若以网络架构来分，包括集中式和分部式两类入侵检测系统；若以工作方式来分，包括离线和在线两类入侵检测系统：若以检测方法来分，则包括异常和误用两类入侵检测系统：在此则根据入侵检测数据来源的不同将其分为网络和主机两大类型的检测系统，具体分析如下。
一是在网络层面的应用；虽然网络入侵中的检测技术包括硬件和软件两个方面，但其工作流程基本一致，即采取混杂式网络接口，用于实时监控流经网络的所有数据，经具体的分析和比较后，识别网络中具有潜在威胁的数据，并加以及时的响应和记录。通常该种模式下的入侵检测技术涉及Agent结构、Console结构和Manager结构，其中Agent负责监控、识别、传输潜在的攻击信息，Consoie用于收集、显示、发送攻击信息：Manager负责及时响应警告信息，执行具体操作。
当计算机网络系统出现攻击信息时，入侵检测系统会作出相应的响应，如通知管理员、发送Email、切断会话、启动触发器、记录日志、查杀进程、取消用户账号等，同时还可对现有的攻击信息特征库进行更新升级，以此更好的保护特定资源。此外基于预测下一事件错误率，以反映用户异常行为的神经网络异常检测技术，基于用户异常行为记录，并保持跟踪、监测、记录的概率统计异常检测技术，基于If—Then结构规则的专家系统误用检测技术，以及基于行为特征模型、实时检测用户攻击企图的检测技术均在网络安全维护中有所应用。
二是在主机层面的应用；主机入侵检测技术的关键在于分析、判断网络连连接、审计日记等重点信息，若发现存在异常，入侵检测系统则会采取及时有效的针对性措施。具体而言，其可实现下述几点功能，实时、全程监控用户使用的操作系统和进行的操作行为；通过必要的管理和维护实现系统及其数据的系统性和完整性；可就未经授权的操作行为加以重点检测，并发出适当的警告，或者执行设定的响应措施；可全面收集、保护系统日志作为备用。

3、计算机网络安全入侵检测技术的发展趋势

就当下而言，入侵检测技术手段虽然众多，在维护计算机网络安全方面发挥了不容忽视的效用，如网络入侵检测技术能及时检测、识别非法访问，无需改变服务器配置，也不影响使用I／O、CPU、磁盘等资源和系统性能，且在出现故障时不会干扰其他系统正常运行等，但也存在一定的局限性，如只能检测与其直接连接的网段，若装设多台带有该系统的传感器，又会增加系统成本；可基于特定特征检测一般的攻击信息，却难以适应复杂的攻击检测；在处理加密会话攻击方面难以奏效，而且入侵检测系统中的数据可能被回传至分析模块中，影响系统运行效率和质量等。可见对计算机网络安全入侵检测技术的研究和实践有待深入。
但基于上述分析，可发现未来的入侵检测技术将会朝着下述方向发展，如智能化入侵检测技术会有所进展，可将神经网络、免疫原理、模糊技术、遗传算法等方法理论用于辨识、泛化入侵特征，以此创新入侵检测技术；分部式入侵检测技术将会得到长足发展，因其模型设计灵活，可显著改善收集数据、分析入侵、自动响应等效率，利于系统资源优势的充分发挥；网络安全防范技术集成化，即探索主机和网络相互融合的入侵检测技术，也可将SET、防火墙等技术与电子商务技术结合起来；此外，还可着手于计算机网络架构、防火墙、病毒防护、入侵检测、数据加密、管理制度等诸多方面，构建完善的评价体系，以此为计算机网络安全入侵检测提供全方位的保障。