浅谈计算机网络安全维护中入侵检测技术的有效应用
一、入侵检测零碎的分类入侵检测零碎可以分为入侵检测、入侵进攻两大类。其中入侵检测零碎是依据特定的平安战略,实时监控网络及零碎的运转形态,尽量在合法入侵顺序发起攻击前发现其攻击希图,从而进步网络零碎资源的完好性和失密性。而随着网络攻击技术的日益进步,网络零碎中的平安破绽不时被发现,传统的入侵检测技术及防火墙技术对这些多变的平安成绩无法片面应对,于是入侵进攻零碎应运而生,它可以对流经的数据流量做深度感知与检测,丢弃歹意报文,阻断其攻击,限制滥用报文,维护带宽资源。入侵检测零碎与入侵进攻零碎的区别在于:入侵检测只具有单纯的报警作用,而关于网络入侵无法做出进攻;而入侵进攻零碎则位于网络与防火墙的硬件设备两头,当其检测到歹意攻击时,会在这种攻击开端分散前将其阻止在外。并且二者检测攻击的办法也不同,入侵进攻零碎对入网的数据包停止反省,在确定该数据包的真正用处的前提下,再对其能否可以进入网络停止判别。
二、入侵检测技术在维护计算机网络平安中的使用
(一)基于网络的入侵检测
基于网络的入侵检测方式有基于硬件的,也有基于软件的,不过二者的任务流程是相反的。它们将网络接口的形式设置为混杂形式,以便于对全部流经该网段的数据停止时实监控,将其做出剖析,再和数据库中预定义的具有攻击特征做出比拟,从而将无害的攻击数据包辨认出来,做出呼应,并记载日志。
1.入侵检测的体系构造
网络入侵检测的体系构造通常由三局部组成,辨别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包停止监视,找出攻击信息并把相关的数据发送至管理器;Console的次要作用是担任搜集代理处的信息,显示出所受攻击的信息,把找出的攻击信息及相关数据发送至管理器;Manager的次要作用则是呼应配置攻击正告信息,控制台所发布的命令也由Manager来执行,再把代理所收回的攻击正告发送至控制台。
2.入侵检测的任务形式
基于网络的入侵检测,要在每个网段中部署多个入侵检测代理,依照网络构造的不同,其代理的衔接方式也各不相反。假如网段的衔接方式为总线式的集线器,则把代理与集线器中的某个端口相衔接即可;假如为替换式以太网替换机,由于替换机无法共享媒价,因而只采用一个代理对整个子网停止监听的方法是无法完成的。因而可以应用替换机中心芯片中用于调试的端口中,将入侵检测零碎与该端口相衔接。或许把它放在数据流的关键出入口,于是就可以获取简直全部的关键数据。
3.攻击呼应及晋级攻击特征库、自定义攻击特征
假如入侵检测零碎检测出歹意攻击信息,其呼应方式有多种,例如发送电子邮件、记载日志、告诉管理员、查杀进程、切断会话、告诉管理员、启动触发器开端执行预设命令、取消用户的账号以及创立一个报告等等。晋级攻击特征库可以把攻击特征库文件经过手动或许自动的方式由相关的站点中下载上去,再应用控制台将其实时添加至攻击特征库中。而网络管理员可以依照单位的资源情况及其使用情况,以入侵检测零碎特征库为根底来自定义攻击特征,从而对单位的特定资源与使用停止维护。(二)关于主机的入侵检测
通常对主机的入侵检测会设置在被重点检测的主机上,从而对本主机的零碎审计日志、网络实时衔接等信息做出智能化的剖析与判别。假如开展可疑状况,则入侵检测零碎就会有针对性的采用措施。基于主机的入侵检测零碎可以详细完成以下功用:对用户的操作零碎及其所做的一切行为停止全程监控;继续评价零碎、使用以及数据的完好性,并停止自动的维护;创立全新的平安监控战略,实时更新;关于未经受权的行为停止检测,并收回报警,同时也可以执行预设好的呼应措施;将一切日志搜集起来并加以维护,留作后用。基于主机的入侵检测零碎关于主机的维护很片面细致,但要在网路中片面部署本钱太高。并且基于主机的入侵检测零碎任务时要占用被维护主机的处置资源,所以会降低被维护主机的功能。
三、入侵检测技术存在的成绩
虽然入侵检测技术有其优越性,但是现阶段它还存在着一定的缺乏,次要表现在以下几个方面:
第一:局限性:由于网络入侵检测零碎只对与其间接衔接的网段通讯做出检测,而不在同一网段的.网络包则无法检测,因而假如网络环境为替换以太网,则其监测范围就会表现出一定的局限性,假如装置多台传感器则又添加了零碎的本钱。
第二:目前网络入侵检测零碎普通采有的是特征检测的办法,关于一些普通的攻击来讲能够比拟无效,但是一些复杂的、计算量及剖析日子均较大的攻击则无法检测。
第三:监听某些特定的数据包时能够会发生少量的剖析数据,会影响零碎的功能。
第四:在处置会话进程的加密成绩时,关于网络入侵检测技术来讲绝对较难,现阶段经过加密通道的攻击绝对较少,但是此成绩会越来越突出。
第五:入侵检测零碎本身不具有阻断和隔离网络攻击的才能,不过可以与防火墙停止联动,发现入侵行为后经过联动协议告诉防火墙,让防火墙采取隔离手腕。
四、总结
现阶段的入侵检测技术绝对来讲还存在着一定的缺陷,很多单位在处理网络入侵相关的平安成绩时都采用基于主机与基于网络相结合的入侵检测零碎。当然入侵检测技术也在不时的开展,数据发掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家零碎滥用检测、形态转换剖析滥用检测等入侵检测技术也越来越成熟。总之、用户要进步计算机网络零碎的平安性,不只仅要靠技术支持,还要依托本身良好的维护与管理。
【浅谈计算机网络安全维护中入侵检测技术的有效应用】相关文章:
8.网络安全技术浅谈