本站小編為你精心準備了入侵檢測技術在計算機網絡安全中運用參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：現階段網絡環境成了人們關注的重點，計算機網絡安全成為人們使用計算機網絡時首先考慮的重點，由此也說明了有效運用入侵檢測技術的必要性與重要性。本文分析了該技術在運用過程中出現的主要問題，并在入侵檢測系統選擇、加密流量處理、入侵檢測能力提升等三個方面提出了切實可行的運用策略，旨在為用戶加強計算機網絡安全維護提供有益的參考。

關鍵詞：計算機網絡；入侵檢測技術；安全維護；運用策略

我國經濟近幾年一直處于飛速增長階段，社會信息化也逐漸趨于完善，計算機技術在人群中得到普及和推廣，人們利用互聯網能夠更為便捷地從事各種活動，如購物、學習、瀏覽新聞等等，能夠在足不出戶的情況下獲取豐富的信息。在網絡環境中，每一天都會產生大量的互聯網信息，眾多的應用、存儲和數據計算等成了人們生活中的常客。在網絡為人們帶來方便的同時，網絡安全問題也值得我們每個人關注。由于不同用戶所掌握的網絡知識不完全相同，對網絡安全的認識也具有差異性，當計算機網絡的安全級別較低時，網絡漏洞就會被別有用心的人所利用，這種情況下垃圾郵件發送、木馬篡改數據、DDoS攻擊等非法入侵行為將會不可避免地出現，并有可能致使個人、機構或國家遭受難以挽回的損失。傳統的安全防護手段如防火墻、信息加密等已經滿足不了當前的需求。入侵檢測作為一項重要的動態安全防護手段應運而生，有效地填補了之前安全防護技術的不足之處，開啟了防火墻之后的第二道防火線，各種規模的入侵檢測系統廣泛應用于企業和政府中，入侵檢測技術已成為一個重要的課題，成為抵御網絡入侵的重要手段。

1入侵檢測技術的概述

從本質上來說，入侵檢測系統就是一種安全防護系統，它能夠對非法使用計算機與網絡資源的意圖進行識破，繼而采取有效的干預措施，以阻止一些惡意行為的發生。入侵檢測技術所發揮的作用主要有以下幾種，一是判斷計算機系統是否會受到外部威脅，對某種行為是否得到用戶授權進行識別；二是對未授權或其他非法行為進行檢測與報告，從而構建一道牢固的安全屏障，讓用戶較為放心地利用網絡資源開展各種活動。入侵檢測系統主要由兩大部分構成，其一是計算機硬件，其二為入侵檢測軟件。異常入侵與誤用入侵是入侵檢測技術的主要檢測對象，這兩者都屬于行為范疇。在識別異常入侵與誤用入侵之前，入侵檢測系統需要充分明確異常行為的判斷依據，以及如何區分正常行為與異常行為。異常檢測首先為對象的正常行為創立行為輪廓，一旦系統發現某種行為明顯不同于正常行為，即可將其判定為入侵行為。異常入侵檢測能夠對計算機可能遭受的攻擊進行預測，但該技術在異常基準值確定、正常行為輪廓模型建立等方面具有較大難度，因而產生了不低的誤報率。在檢測誤用入侵行為之前，入侵檢測系統應當明確一些規則，也就是說所有的入侵都能夠被表達為模式或特征，若判定審計數據中出現了這些被定義好的模式則將其視為入侵。誤用入侵檢測主要在于如何表示入侵的特征以準確無誤地區分入侵行為和正常行為，該方法的亮點是能夠明確地標出入侵的類型，而且正確率較高，誤報的概率明顯偏低。但其突出的弊端是漏報率往往居高不下，因為它只能發現已有的攻擊，對系統中的未知攻擊卻束手無策；實時更新與維護特征庫也比較困難。異常入侵檢測和誤用入侵檢測這兩種檢測各有其優點和不足之處，因此，在實際使用中往往聯合使用這兩種方法。

2入侵檢測技術在計算機網絡安全應用中出現的問題

（1）應用方式較單調

這一問題容易導致計算機網絡的安全性能明顯降低。就現階段而言，應用于計算機網絡中的入侵檢測技術以檢測相關特征為主，其防御及時性有所不足，這種單調的應用方式往往對計算機網絡的安全性造成了不利影響。另外，該技術僅只能分析與檢測與其直接相連的網段，不能檢測不同網段的網絡信息，所以它真正檢測的網段是很有限的，這就導致入侵檢測技術在計算機網絡安全監測中有很大的局限性。再者，入侵檢測技術在實際應用過程中所產生的誤報率也是無法得到有效控制的。所謂誤報，是指該技術將一些特征不太明顯但卻經過用戶授權的行為判定為非法行為或異常行為。實際上，任何一種入侵檢測系統都會誤報，這是由多種因素導致的，如集中協調機制不健全、主機安全級別較低、網絡漏洞較多、信息共享標準機制缺失、系統跟蹤分析數據信息的能力不強等等。

（2）數據處理能力不足

一般來說，用戶在利用計算機和網絡資源開展各種活動的過程中，定然會產生多樣而繁雜的數據信息，為避免其中一些重要的數據信息遭到篡改、泄露或丟失，有必要應用有效的加密處理技術。然而從現實中不難發現，在構建入侵檢測系統以后，計算機網絡的安全性能并未得到顯著提升。由于入侵檢測技術表現出較低的數據處理能力，大量數據信息難以得到加密處理，從而增加了用戶隱私暴露的可能性，甚至會導致其關鍵數據被非法竊取。當前，上網已經成為我國居民的普遍行為，很多活動都需要在網絡環境中開展，這必然會導致網絡數據越積越多。因此，入侵檢測技術只有注重提高識別與判斷入侵行為的速度與正確率，才能充分滿足用戶對海量信息進行加密處理的需求。

（3）檢測技術有待提高

與歐美等發達國家相比，我國計算機網絡技術的發展相對滯后，因受到多種因素的影響，該領域尚未能保持最快的發展速度。因計算機網絡入侵檢測技術本身還不夠成熟，而入侵檢測系統的管理人員往往也不具備豐富的計算機知識，當一些特殊問題出現時，系統便難以充分發揮其防御作用，這種狀況不僅會導致計算機網絡的安全級別明顯下降，而且對我國計算機網絡的良性發展產生了極為不利的影響。由此說明，計算機網絡入侵檢測技術有待于進一步提高。通過深入分析可知，當前偏低的入侵檢測技術與多種因素相關，比如檢測方法的自適應能力不強，入侵檢測算法不能有效阻止ATP攻擊行為，未能考慮到協同攻擊行為的發生，識別攻擊行為時僅僅以規則庫為依據，等等。

3計算機網絡安全中應用入侵檢測技術的相關對策

（1）采用分布式部署入侵檢測系統

網絡技術的發展致使網絡系統的結構與規模均出現了非常大的變化，在這種狀況下，若要提高入侵檢測技術的應用效率，必須積極應對新的問題與挑戰。當前，協同攻擊、共同攻擊等現象越來越突出，而網絡環境中的攻擊數據源又具有明顯的分散性。無論是針對協同式攻擊還是分布式攻擊，入侵檢測技術都應當快速檢測攻擊數據源，并基于深入分析，對攻擊信息進行準確定位。單個主機所安裝的入侵檢測系統通常具有獨立性，但在主機性能與系統自身結構的限制下，系統很難對協同式攻擊行為和分布式攻擊行為進行有效阻止。在分布式入侵檢測系統中，管理器、分析器、數據采集器等是主要的構成部件，這些部件通過遵從協同規則從而順利完成了入侵檢測任務。從整個運行過程來看，該系統首先采集來自不同網段的入侵信息，然后對其進行關聯分析，最后確定攻擊數據源并采取切實有效的處理方式。分布式入侵檢測系統表現出以下幾種優勢。一是明顯擴大了檢測范圍；二是檢測水平高于獨立的入侵檢測系統；三是具有良好的可擴展性，能夠滿足網絡發展需求；四是可分析檢測數據的關聯性，并且提高了檢測精度；五是在個別檢測部件失效的前提下，仍然能夠針對分布式協同攻擊完成檢測工作。

（2）利用機器學習人工智能技術處理加密流量

在傳統模式下，入侵檢測技術的應用與流量分類均需要掌握用戶的隱私信息以及提取復雜的特征。最近幾年，由于網絡帶寬得到了改善，應用層協議更加復雜，而且加密技術也在不斷提高，用戶更為注重保護自己的隱私信息，如果在此背景下入侵檢測技術未能得到及時更新，必然不利于對加密流量的有效處理。雖然流量加密能夠使用戶隱私得到保護，但卻給不法分子實施入侵行為提供了機會。這些人員在傳輸網絡數據時，通過利用HTTPS等加密流量即可防止遭到系統的檢測。很多特意軟件借助HTTPS來破壞正常的網絡環境，而大部分勒索軟件家族則使用HTTPS進行傳播。因此，對加密的惡意流量進行檢測刻不容緩。

（3）利用數據挖掘技術提升入侵檢測能力

當前，網絡寬帶速度在大幅度提升，與此同時大數據存儲技術在眾多領域得到了良好應用，基于網民不斷增加，產生了越來越復雜的網絡環境與難以計數的網絡流量數據，因而只有提高入侵檢測技術的檢測能力，才能獲得較為理想的用戶滿意度。在這方面，很多學者開展了大量的研究工作，并通過深入分析指出，引入數據挖掘技術有助于改善入侵檢測系統的數據處理效果。具體而言，入侵檢測系統應當利用大數據技術對海量的、不確定的、不精細的歷史數據進行全面分析，然后再對某些行為特征進行提取，繼而實現對流量規則庫的完善。計算機網絡安全在當今社會是非常重要的，網絡信息數據龐大，加強入侵檢測技術才能最大程度地保障網絡安全，通過加強研發和應用，既能夠增強工作人員的業務素質，又能夠提高入侵檢測技術的智能化水平，可為構建安全級別較高的計算機網絡系統奠定牢固的基礎，以使我國計算機網絡行業實現快速、穩定而健康的發展。

作者：胡嘉俊 張勇 胡國良  單位：國家計算機網絡與信息安全管理中心湖南分中心