本站原创本文是一篇计算机网络论文范文,关于计算机网络本科毕业论文,关于入侵检测技术在计算机网络安全中的应用相关函授毕业论文范文。适合计算机网络及计算机网络安全及信息技术方面的的大学硕士和本科毕业论文以及计算机网络相关开题报告范文和职称论文写作参考文献资料下载。
摘 要:随着网络信息技术的不断发展,计算机的使用也逐渐走进了千家万户.网络技术在为人们带来便利的同时其安全问题也日益成为人们关注的焦点,如何最大限度的保障计算机网络安全也已经成为人们研究的重点和难点问题.在提高计算机网络安全方面存在着众多的防范技术,在这众多的技术中入侵检测技术是十分重要的一种.本文就入侵检测技术在计算机网络安全中的应用进行深入探讨与分析,以期为相关研究提供参考.
关 键 词:网络安全;入侵检测技术;应用
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 18-0000-02
在网络信息技术的推动下,当今社会已经进入了信息高度发达的时代.网络在为人们带来巨大便利的同时,自身也存在很大的安全隐患.这些安全隐患对人们利用网络信息技术造成了很大的困扰,同时也制约和限制了网络信息技术朝着更加纵深的方向发展.正是在这一背景下,各种旨在保障计算机网络安全的技术应运而生.其中,入侵检测技术是应用较广也是效果较好的技术.
1入侵检测系统的具体分类
一般来讲,应用于计算机网络安全中的入侵检测技术大致可以分为两大类:一是入侵检测,一是入侵防御.在这两类技术中,入侵检测系统的工作原理是根据计算机网络安全的特定安全策略,对网络及整个系统的运行状态进行实时的监控,以此来在各种威胁计算机网络安全的因素对其发起入侵攻击之前就能察觉和发现,通过这种入侵检测来有效保障计算机网络系统资源的整体性和保密性.然而,在计算机网络安全技术不断发展的同时,网络攻击技术也在相应的发展.其中,只要网络系统存在些许安全漏洞,就会为网络攻击创造条件.传统的计算机网络入侵检测技术以及防火墙技术无法完全应对不断出现且复杂多变的安全问题.也正是在这背景下,计算机网络入侵防御系统应运而生.自从有了入侵防御系统,计算机网络在安全设置就可以对流经它的数据流量进行更为深度的感知与具体的检测,从而丢弃网络攻击的种种恶意报文,阻断其对网络系统的恶意进攻,同时最大限度的限制滥用报文,有效保护网络带宽资源.
计算机网络入侵检测系统与入侵防御系统存在着很大的不同,其主要区别在于:前者只具备单纯的预警功能,对网络入侵无法及时做出有效地防御,而后者则在计算机网络与防火墙的硬件设备之间搭起一座桥梁,一旦检测到计算机网络系统遭到恶意攻击,入侵防御系统就会在这种攻击扩散之初就将其阻止在外;入侵检测系统与入侵防御系统在检测攻击的方法方面也并不相同.其中,入侵检测系统是通过对入网的数据包进行检查,以此来在确定该数据包的真正用途的前提之下,再通过相应的作用原理来对其是否进入网络进行预判.
2入侵检测技术在计算机网络安全中的应用
入侵检测技术在计算机网络安全中的应用主要体现在基于网络的入侵检测、对于主机的入侵检测两个方面.
2.1基于网络的入侵检测
基于网络的入侵检测在形式上进行划分,大致可以分为两类:一是基于硬件的入侵检测,一是基于软件的入侵检测.虽然二者的名称并不相同,但是其工作流程却是一样的.二者都是以混杂模式来作为网络接口的模式设置,通过这种设置来实现对全部流经该网段的各种数据进行实时的监控,并且对这些监控数据做出具体的分析,进而将其与数据库中预定义的具备攻击特征来进行比较,从而将对计算机网络具有潜在攻击威胁的数据包识别出来,做出及时有效的响应,并记录日志.
2.2入侵检测技术的体系结构
一般来讲,网络入侵检测技术的体系结构通常由Agent、Console、Manager三部分构成.其中,Agent的作用在于对计算机网段内的数据包进行有效监控,并且从中找出可能的攻击信息,然后把相关的分析数据发送至计算机网络管理器;Console的主要作用在于将代理处的信息收集起来,并且所受攻击的信息进行具体的显示,然后将找出的攻击信息以及相关分析数据发送至计算机网络管理器;Manager的主要作用则在于在配置攻击警告信息时进行有效地响应,同时网络控制台所发布的各种命令也是由Manager来进行具体执行,然后再将代理所发出的攻击警告发送至计算机网络控制台.
2.3入侵检测技术的工作模式
基于计算机络的入侵检测,要在每个网段中部署多个入侵检测代理,根据网络结构的不同,其代理的连接形式也相应不同.其中,如果采用总线式的集线器作为网段的连接方式,那么只需将代理与集线器中的某个端口进行连接即可;如果采用太网交换机作为连接方式,由于交换机自身无法实现媒介共享,因此只采用一个代理来对整个子网进行有效监听的办法是无法实现的.也正是从这方面考虑,可以将交换机核心芯片运用于调试的端口当中,同时将该端口与入侵检测系统进行连接操作,或者是把该端口放置在数据流的关键出入口处,这样就可以轻而易举地获取几乎全部的关键数据.
2.4攻击响应及升级攻击特征库、自定义攻击特征
如果恶意攻击信息被入侵检测系统检测出来,其所能产生的响应方式就有许多种.例如,发送、通知管理员、记录日志、切断会话、查杀进程、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等.同时,升级攻击特征库可以把攻击特征库中的各类文件通过必要的形式(手动或者自动)从相关的站点中下载下来,然后再利用计算机网络控制台将其实时添加到网络攻击特征库之中.在这一过程中,网络管理员可以根据单位的资源状况以及具体应用情况,以入侵检测系统特征库为基础来对攻击特征进行自定义,从而有效保护单位的特定资源与应用.
2.5对于主机的入侵检测
通常在被重点检测的主机上会设置对主机的入侵检测,以此来对本主机的系统审计日志、网络实时连接等信息进行智能化的分析与判断.在此过程中,一旦有可疑情况被发现,那么入侵检测系统就会采取针对性的措施.基于主机的入侵检测系统可以具体实现以下五个方面的功能:一是对计算机网络用户的操作系统以及所做的全部操作行为进行全程实时监控;二是保证持续评估系统、应用以及数据等各个方面的完整性、系统性,并主动对其进行各种必要的维护;三是创建全新的安全监控策略,对计算机网络进行实时更新;四是重点检测未经授权的网络操作行为,并发出预警.在此期间,也可以执行预设好的各种响应措施;五是对全部日志进行收集并加以有效保护,留待以后使用.基于主机的入侵检测系统可以从各个方面来对主机进行实时有效的全方位保护,但是要实现计算机网路中计算机监测系统的全覆盖则需要投入大量的成本,并且被保护主机的处理资源在基于主机的入侵检测系统进行工作时要被占用,而这也就会降低入侵检测系统保护主机性能的发挥.3入侵检测技术存在的问题
尽管计算机网络入侵检测技术具有明显的优越之处,但是就现阶段该技术的应用来看尚存在着一定的不足,这些不足也在一定程度上制约和限制了该技术的普及和应用.大致来讲,入侵检测技术存在的主要问题体现在以下五个方面:
第一,安全检测的局限性.由于计算机网络入侵检测系统只是对与其直接连接的网段通信进行检测与分析,对不在同一网段的网络包则无法进行有效的检测,这也就使得计算机网络入侵检测系统在其监测范围中总是会表现出一定的局限性,如果要消除这种局限,只有通过安装多台传感器,而这又将增加系统的成本.
第二,就目前而言,计算机网络入侵检测系统一般以特征检测的方法作为其基本检测法,这种方法对一些普通的网络攻击来说效果比较明显.然而,一些较为复杂、计算量以及分析时间均相对较大的攻击则无法进行检测.
第三,入侵检测系统对某些特定的数据包进行监听时可能会产生大量的分析数据,而这则会对系统的性能造成很大的影响.
第四,网络入侵检测技术在处理会话过程的加密问题时较为困难.虽然现阶段通过加密通道对计算机网络造成的攻击相对较少,但是在可以预见的时期内这一问题会越来越突出.
第五,计算机网络入侵检测系统自身并不具备阻断和隔离网络攻击的能力,但是该系统可以通过与防火墙进行有效联动来发现入侵行为后并将之通过联动协议及时通知到防火墙,从而让防火墙采取相应的隔离手段,以此来实现安全保护的目标.
总之,入侵检测技术在计算机网络安全中发挥着重要且难以替代的作用,这种作用虽然因某些技术层面的限制难以完全发挥出来,但是相信随着计算机网络信息技术的不断发展,入侵检测技术定能在保护计算机网络安全中发挥更大的作用.