非法獲取計算機資訊系統資料罪-計算機網路安全入侵檢測技術的實踐與應用

非法獲取計算機資訊系統資料罪

-

計算機網路安全入侵檢測技術的實踐

與

應用

1

、

計算機網路入侵途徑

2

、

計算機網路安全入侵檢測技術的實踐應用

2．1入侵檢測技術

概述入侵檢測技術是以維護計算機系統安全為目標，以網路入侵途徑為重要依據，用於檢測違反網路安全策略行為的一種積極主動的防護技術，即透過獲取並分析網路行為、審計資料、安全日誌等有用資訊，用於檢測系統或網路中是否存有異常跡象，以此作出預設響應或採取措施。

具體而言，入侵檢測系統設計應基於可用性、有效性、可擴充套件性、適應性的基本原則，完善下述幾個模組：資料採集，即先借助抓包用於捕獲所需資料；資料分析，即透過協議工具解碼資料包，將其置於相應的資料結構中，然後對其中的組合和分片資料予以處理，以及檢測異常資料；檢測響應，針對異常情況，系統會自動發出警報，用於通知管理員切斷網路，阻止資料入侵；網路日誌，其主要用於記錄非法攻擊的資料，便於人員查詢和分析；規則解析，即在資料庫或檔案中儲存特定的語法規則。

2．2入侵檢測技術

應用應用於具體實踐中的計算機網路安全入侵檢測技術相對較多，若以網路架構來分，包括集中式和分部式兩類入侵檢測系統；若以工作方式來分，包括離線和線上兩類入侵檢測系統：若以檢測方法來分，則包括異常和誤用兩類入侵檢測系統：在此則根據入侵檢測資料來源的不同將其分為網路和主機兩大型別的檢測系統，具體分析如下。

一是在網路層面的應用；雖然網路入侵中的檢測技術包括硬體和軟體兩個方面，但其工作流程基本一致，即採取混雜式網路介面，用於實時監控流經網路的所有資料，經具體的分析和比較後，識別網路中具有潛在威脅的資料，並加以及時的響應和記錄。通常該種模式下的入侵檢測技術涉及Agent結構、Console結構和Manager結構，其中Agent負責監控、識別、傳輸潛在的攻擊資訊，Consoie用於收集、顯示、傳送攻擊資訊：Manager負責及時響應警告資訊，執行具體操作。

當計算機網路系統出現攻擊資訊時，入侵檢測系統會作出相應的響應，如通知管理員、傳送Email、切斷會話、啟動觸發器、記錄日誌、查殺程序、取消使用者賬號等，同時還可對現有的攻擊資訊特徵庫進行更新升級，以此更好的保護特定資源。此外基於預測下一事件錯誤率，以反映使用者異常行為的神經網路異常檢測技術，基於使用者異常行為記錄，並保持跟蹤、監測、記錄的機率統計異常檢測技術，基於If—Then結構規則的專家系統誤用檢測技術，以及基於行為特徵模型、實時檢測使用者攻擊企圖的檢測技術均在網路安全維護中有所應用。

3、

計算機網路安全入侵檢測技術的發展趨勢

就當下而言，入侵檢測技術手段雖然眾多，在維護計算機網路安全方面發揮了不容忽視的效用，如網路入侵檢測技術能及時檢測、識別非法訪問，無需改變伺服器配置，也不影響使用I／O、CPU、磁碟等資源和系統性能，且在出現故障時不會干擾其他系統正常執行等，但也存在一定的侷限性，如只能檢測與其直接連線的網段，若裝設多臺帶有該系統的感測器，又會增加系統成本；可基於特定特徵檢測一般的攻擊資訊，卻難以適應複雜的攻擊檢測；在處理加密會話攻擊方面難以奏效，而且入侵檢測系統中的資料可能被回傳至分析模組中，影響系統執行效率和質量等。可見對計算機網路安全入侵檢測技術的研究和實踐有待深入。

但基於上述分析，可發現未來的入侵檢測技術將會朝著下述方向發展，如智慧化入侵檢測技術會有所進展，可將神經網路、免疫原理、模糊技術、遺傳演算法等方法理論用於辨識、泛化入侵特徵，以此創新入侵檢測技術；分部式入侵檢測技術將會得到長足發展，因其模型設計靈活，可顯著改善收集資料、分析入侵、自動響應等效率，利於系統資源優勢的充分發揮；網路安全防範技術整合化，即探索主機和網路相互融合的入侵檢測技術，也可將SET、防火牆等技術與電子商務技術結合起來；此外，還可著手於計算機網路架構、防火牆、病毒防護、入侵檢測、資料加密、管理制度等諸多方面，構建完善的評價體系，以此為計算機網路安全入侵檢測提供全方位的保障。