探究入侵检测技术在计算机网络安全中的应用

徐梦萍

关键词：计算机网络安全；入侵检测技术；应用

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2022）36-0075-03

计算机网络技术的发展与应用对于我国社会经济的发展有很大的促进作用，提高了个人以及企业的工作、生产效率，但同时也带来了严重的网络安全问题，如病毒入侵、黑客攻击等多种网络安全事故频频发生。网络安全问题不仅严重影响着个人以及企业的经济效益，更严重扰乱网络运行环境，破坏网络运行秩序。随着科技的进步，各种入侵技术也在不断更新，传统的网络安全防护技术，难以抵御当前网络新病毒的恶意入侵，很难满足当代社会发展需求，为进一步保证网络的正常运行，更好地实现安全与稳定，因此，必须完善计算机网络安全的入侵检测技术[1]。

1 入侵检测技术简介

入侵检测技术主要应用于对网络系统的检测，监督其运行过程中的异常数据和行为，其中包括软硬件系统设备。其原理在于对于有效数据信息进行筛选和分析，并分析这些数据是否影响到网络正常运行，进而判断是否存在攻击行为，当检测到不安全行为时，则会做出相应的保护措施。其检测原理如图1 所示。

入侵检测在进行攻击行为的处理过程中，一般需要经过三个过程：①对网络中的数据和信息进行采集；②对所采集的信息进行全面分析和整理；③通过分析结果做出适当的响应，并反馈响应的处理结果，即发出相应的报警或阻止行为，以保证网络系统的正常运行。通常情况下，入侵检测威胁主要从以下几方面进行考虑。其中，外部渗透方面，主要是由于部分用户未经过授权对各种数据出现调用的情况发生；内部渗透方面，主要为合法用户对未授权数据进行使用的现象；滥用则是合法用户对数据和信息的不合理使用的情况。入侵检测技术的工作流程如图2所示。

2 入侵检测技术的分类

2.1 立足于网络的入侵检测技术

立足于网络的入侵检测技术能够对网络运行过程中的非法软件和程序进行检测，并将检测状态和检测分析结果进行实时报告，从而最大限度减少网络攻击情况的发生。这种检测技术能够对计算机系统的多个网络安全节点进行监督和检测，不仅安装方便，而且检测效果较好。当检测到有非法入侵或可能影响网络安全的程序或操作时，便会进行及时的处理，能够有效提升网络安全检测的效率，维护网络环境的安全性能。由此可见，立足于网络的入侵检测技术具有检测速率高、安装成本低、安装便捷等优点。

2.2 立足于主机的入侵检测技术

立足于主机的入侵检测技术就是对主机进行检测，根据主机的故障情况以及运行速率等方面的信息来判断是否遭受非法攻击。在进行检测的过程中，该检测系统能够对计算机的使用状况进行全面，实时、科学地检测监控，使得非法入侵或威胁计算机系统安全的行为或操作能够被及时检测出来，并能够在主机发生故障时进行及时报警，并实施合理的防范措施，以此来保证计算机系统运行的安全性。此种检测技术能够为后续整个系统的建成提供基础和便利，从而提高系统检测效率[2]。

2.3 立足于行为的入侵检测技术

立足于行为的入侵检测技术，在计算机网络安全方面发挥着至关重要的作用，通过对文件数量等问题进行检测，及时发现各个计算机硬件的异常情况，而且当发现计算机硬件遭受攻击或存在潜在威胁时，会及时实施合理的检测方案，促进计算机硬件的稳定性，提高运行环境的整体安全性能。

3 系统入侵检测技术在计算机网络安全方面的具体表现

3.1 部分入侵数据有效收集

在技术使用中，最为重要的一个环节在于各种信息的有效收集，为保障网络安全的稳定性，各项设备的有效运行，需要对以下几方面着重把控：①侵入信息的真实详情；②网络运行过程中有效信息的掌握；③文件内容的变化信息；④系统以及网络记录信息。以上四个信息源的全部信息，都是入侵检测技术使用中所必须关注，属于重要的数据基础，在端口测试工程中必须着重注意对相关信息的获取。为计算机网络运行创造一个稳定的环境，有很多检测对象在技术使用中需要检测次级再进行确认，以避免不良数据频频在互联网中流窜的概率，减少因网络环境混乱造成不必要的损失。因此，对于整个检测流程，对于数据源信息进行充分比较，从而对异常数据和问题信息加以深度发掘，并施以正确的处理策略，以提升数据采集的效果与品质。

3.2 已收信息分析

相对于传统TCP/IP网络，网络探测引擎在入侵探测方法中具有关键的作用。由于网络探测引擎相当于传感器，因此其探测在互联网上流动的数据包的主要方式为旁路监控。匹配模式法和异常发现法为所收数据的两类统计分析法。利用上述二类方法，对所有非正常进入计算机系统中的数据进行简要统计分析，以发现其违反安全要求的情况，并及时将数据传送给中央控制中心发布警报，从而达到专门性、智能性、可用性的入侵检查，以维护计算机网络信息系统和数据资料的安全性。

3.3 网络信息响应

在为网络创造一个良好稳定环境的基础上，通过入侵检测技术有利于更好地保证计算机免受入侵的危害，做出正确的处理。首先，需要将信号传递至控制台，对其给出相应的预警，利用电子邮件等形式与主管安全工作的管理者进行有效联系，保证之间的良好沟通，对于重要信息及时进行传达，如实时呼叫的方式，降低损害；其次，采用笔录的方式，尤其是对于现场的一些重要情况及时记录下来，进行不断分析，在现有的基础上，更好地掌握此项技术，减少安全隐患；最后，对于安全问题，及时采取措施，通过应答的方式，以及指定用户应答的严格程序，保障整个计算机网络的安全。

3.4 对入侵的反击

防火墙技术在处理周边威胁方面，可以較好地发挥作用，但是在内部网络中却并不能实现更有效的控制。其问题在于，攻击行为能够通过网络协议隧道，在进入时会采取躲避行为，通过各种方式必过防火墙的阻挡，从而严重威胁到计算机的网络安全，基于此，需要加强防范措施，将入侵检测系统与防火墙进行有效连接，加强二者的联系性，以充分地发挥双方的最大长处，从而构建成一个综合防护体系。可从下述几个角度进行分析：①在发送过程中需要对侵入检测系统的端口进行控制，让网络防火墙技术加入进来，二者也能够彼此沟通；②防火墙配备有过滤机制，在其功能发挥作用时，需要将其分组进行检测，在发现有可疑数据后要及时加以辨别，并且进行删除；③防火墙的过滤机制能够对数据进行筛选，并且通过入侵监测技术对所涉及的信息进行检测，对于检测当中有不合理的地方，需要将其录入入侵信息样本数据库，同时做出适当的报警反应并告知用户，用户实施适当的防护，进而达到数据安全的综合防护效果[3]。

4 基于入侵检测技术的参数优化

4.1 粒子群算法寻优思想

現阶段的入侵检测技术往往存在数据收集难度高、网络运行时间长等问题，此类问题将直接影响到网络负荷，易产生信息冗余现场，从而降低检测效率、影响检测精确度。而通过粒子群算法便能够有效解决此问题。粒子群算法的结构更加简单，在系统中进行深入搜索，而且更容易获取最佳参数。在应用粒子群算法过程中，往往会定义种群中每个成员为粒子，每个粒子表示不同的可行解，并在此范围内存在最优解[4]。通过寻找的过程将粒子的函数进行调节，并促使每个粒子的更新，完成位置和速度的不断迭代，利用此过程促进最优解的产生。

4.2 粒子群算法流程与改进

通过对粒子群算法寻优思想的运用，便能够有效地识别并检测网络系统运行过程中的异常现象，并根据数据分析结果制定相应的措施，促进网络运行环境的安全性的提升。应用粒子群算法寻优技能能够有效提高检测速度，但是在参数选定方面的智能化程度明显不足，这就需要相关技术人员首先设定算法中的参数，并根据网络实际运行需求进行算法优化。在获取最优解过程中，若种群数量大，则很容易获取到最优解，但此时需要消耗较长的时间，这就需要根据实际的规模选择适量的粒子。然后根据粒子数量设定寻找速度，并根据所收集到的信息进行全面的分析，进而判断网络系统中存在的具有安全隐患的行为，对此行为加以分析，确定是否存在攻击性，进而保证网络运行安全[5]。在进行算法位置与速度确定过程中，可以设定其随机搜索方式，并将搜索范围扩大，提高入侵检测的精度。在蚁群算法的基础之上，通过网格搜索算法获得最合理的搜索速度和位置，将可能的组合应用到检测模型中，并进行综合分析，进而得到优化后的速度和位置，不仅提高了检测的精度，更缩短了检测的时间。

5 基于Snort 入侵检测系统的设计与实现

5.1 网络入侵检测层

网络入侵检测层，其又称为传感器层，其通过传感器对被截获的报文实施入侵检测，其中，传感器由信息采集端口和控制接口构成，Capture端口不涉及IP 地址，将其设定为混合状态，并接收所有报文。而管理端口也必须和数据库层进行直接性地通信，并将其传送入侵报警数据中。

5.2 数据库服务层

因为网络入侵检测层的端口将向传感器发出入侵告警数据保存到数据信息库中，并对数据库中的相关信息实施检索。管理接口传感器有效链接到数据库，并启动安全防火墙等接口，从而避免安全策略和网络防火墙碰撞。

5.3 数据分析控制层

在数据分析控制层显示数据，图形化显示需借助图形类库的实现，控制功能具有较为理想的全面性，在管理方面也会更加便捷。使用IE、GoogleChrome等浏览器，使用者能够基于浏览器实现浏览管理功能。

5.4 软件配置与安装

对于WinPcap而言，其软件配置与安装较简便。C：＼Snort目录下应放置编译完成的Snort，接着将snortrules复制粘贴于C：＼Snort目录中。适当修改snor tu⁃les，并于C：＼Snort＼lib目录下设置规则库的位置等，此外创建一个新文件夹，将其命名为snort_dynami⁃crules，对其放置动态规则。之后输入C：＼Snort＼bin>snort.exe_W，并发送命令，从而验证安装工作是否已经成功完成。在这一系统中，数据库采用的是MySQL，其具有多重优势，安装时选择常规方法，依照提示进行操作便可，为了便利考虑，可以将用户密码设定为Snort。

5.5 系统实现配置

首先，系统采用BASE登录方式，当Snort的入侵检测端口安装完毕后，实时监测数据；然后，向MySQL 数据库经数据库系统的输出端口发送攻击日志；之后数据库接口利用数据分析控制台进行加以读写，并表现在BASE上。其主要展示出每天新增的告警事件数量、当前告警事件数量、攻击源IP地址等相关信息，为此项技术的更好的应用提供有利基础，以方便网络安全工作的顺利开展，同时还可以查看特定的告警事件信息。

6 结束语

综上所述，为了网络信息的安全可靠性，需要充分应用入侵检测技术，提高入侵检测的技术水平对当代社会发展有着重要的意义。在未来发展中，将入侵检测技术与数据挖掘技术进行深度融合，使其能够充分运用于真实场景中，相关研究人员需继续对IDS进行研究，从而保证工作中展现出更为突出的效能，发挥此项技术的最大价值。