非法获取计算机信息系统数据罪-计算机网络入侵检测技术分析
【摘要】随着科学技术的飞速发展,网络在给我们带来极大方便的同时,也带来了一些安全上的隐患。一些安全保护措施也随之产生,比如防火墙、数据加密技术等,现在又出现了一种新型安全技术保障——入侵检测技术。该技术可以对网络资源以及计算机的恶意使用方式作出识别和响应。该文从该技术的定义、功能以及使用检测的方法等多方面对网络入侵检测技术进行介绍,继而根据我国当前的网络使用现状来分析当前应用的各种检测方式,最后再对于此技术的防御性和未来发展趋势给予了总结,希望能够对我国网络安全产生积极的影响。
【关键词】入侵检测;计算机网络;发展方向
1、入侵检测定义
对入侵检测的定义为,它在网络的关键处进行信息的采集以及分析工作,观察在网络中有无违法的安全策略行为存在,对网络的可用性、完整性以及安全性给予保证。入侵检测的信息采集是在网络系统当中的若干关键点下进行的,此外还需要很好的对这些信息进行分析,明确是否真正存在没有安全策略工作的现象以及是否被攻击的现象存在。
2、入侵检测必要性
在网络连接高速发展的当今社会,尤其是处于Internet的大范围开放并且金融领域进行网络接入,系统遭到入侵攻击的可能系数越来越高,这些危险都是对操作系统进行挖掘并且针对服务程序的缺陷以及弱点进行攻击存在的,安全的系统要满足用户对系统可用性、完整性以及保密性等最基本的要求。所以入侵检测技术的存在是非常必要的,它不但对已知的入侵行为具有较高的发现能力,还对未知的入侵行为同样有非常高的发现力,在对入侵手段进行了大量研究之后,我们可以更加及时的对系统相应策略进行有效调整,极大地增加了系统安全性。
3、入侵检测步骤分析
我们可以说,入侵检测为网络安全很好的提供了实时监测,并且能够依据检测结果提出相关的防护手段。而针对攻击性的行为检测则非常容易被发现,可以对于已经完成安检的嫌疑者,更需要对信息系统安全进行检测。步骤主要可以分为以下几个方面:
3.1收集状态、行为信息
入侵检测常常使用分布式结构,在网络系统的不同关键点进行信息的收集工作,不但扩大了检测的范围,同时还能够对各种采集点信息有效的分析,从而对是否存在入侵行为进行很好的判断。
入侵检测使用的信息常常取自下面的4方面:物理形式入侵信息;在程序执行过程中出现的不期望的行为;存在于目录或者文件中的不希望出现的改动;来自系统或者网络的日志。
3.2分析采集的信息
一般来讲,我们平时应用的分析方法主要有三种,分别为:完整性分析、统计分析、模式匹配。
完整性分析一般是对于被关注的对象和文件是否被改动进行检测,这些包括了目录和文件属性。应用这种方法能够很好的防范特洛伊木马的攻击作用。
统计分析的方法是为系统的对象建立统计描述,对使用的测量属性统计。这些测量的平均值会与网络行为比较,假如发现了观察值超过正常值,那么就可能会存在入侵行为。在阈值的选择上,此种方法是没有太大优点的,阈值太大可能对部分入侵事件进行漏报,太小的话则可能有错误的入侵报告产生。
模式匹配是将收集到的信息及其系统误用模式进行对比,从而更好及时的发现安全问题。
4、入侵检测出现的诸多问题及其发展趋势分析
4.1问题分析
(1)从目前的形势来看,入侵检测系统的检测速度要明显小于网络的传输速度,这样就使得漏报率非常高,甚至出现了误报率。(2)其他网络安全产品与入侵检测产品很多都结合在了一起,在工作的过程中能够很好的做到信息交换,在协作过程中能够及时发现攻击行为并将其很好的阻止。(3)因为属于网络性质的入侵检测系统对于加密保护及其交换网络无法检测,且它自身的构建也经常受到攻击。(4)存在于检测系统内的体系结构问题。
4.2发展方向
一般来讲,因为信息系统对国民经济以及社会生产的影响作用越来越大,而且目前攻击者的手段和工具也正在向着复杂化发展,各个国家之间的战争也逐步向信息方面战争的趋势发展。主要有如下几点入侵检测方式:
4.2.1通用和分布式入侵检测架构
因为入侵检测系统一直都单纯的限制在了主机架构上,也有一些是在网络上,使得大规模监测存在着非常大的缺陷,且对于不同的网络入侵检测系统无法有效的协同工作,基于出现的这些问题,有关部门使用了通用和分布式入侵检测架构。
4.2.2应用层入侵检测
一些入侵语义在应用层面上非常容易被人们理解,可是目前的IDS只能对Web之类的协议有很好的检测,对LotusNotes等系统无法进行有效处理。一些基于客服结构、中间技术和对象技术的应用一定要在应用层面上才能够得到入侵检测保护的。
4.2.3职能入侵检测
目前网络入侵的方式变得逐步趋向多样化,虽然目前出现了一些诸如遗传算法、智能体等技术的使用,但是这些都是尝试性工作,我们要对IDS的智能化做更深层次的分析,从而真正解决问题。