美章网 资料文库 高速网络环境下入侵检测技术探析范文

高速网络环境下入侵检测技术探析范文

本站小编为你精心准备了高速网络环境下入侵检测技术探析参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

高速网络环境下入侵检测技术探析

摘要:随着我国科学技术不断发展,网络信息技术的应用范围愈加广泛。如今信息网络技术已经融入人们各个生活领域中,给人们工作与生活带来了极大的便利。在高速网络环境下,网络技术在给人们带来便利的同时,也具有极大安全隐患,木马病毒的侵入对用户隐私和金融资产带来极大的安全隐患。基于此,本文重点探究入侵检测技术,并提优化措施,旨在提高高速网络环境的安全性。

关键词:高速网络环境;入侵检测技术;优化方法;安全性

0引言

比特币勒索病毒是当今社会的一大焦点,该病毒主要是一种“蠕虫式”的勒索病毒软件,大小是3.3MB,由不法分子利用NSA(NationalSecurityAgency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。该恶意软件会扫描电脑上的TCP445端口(ServerMessageBlock/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。如果中毒用户在一周之内没有支付解锁费用,会直接将锁定文件销毁,无法恢复。该勒索病毒的到来,表明即使是美国,其网络系统也存在着漏洞,对用户造成巨大影响。由此可见,加强入侵检测技术研究的重要性。

1网络入侵检测技术分析

网络入侵检测技术是一种主动保护计算机的网络安全技术,能够检测来历不明的文件。该技术主要通过在线分析网络数据报文,当出现异常数据或入侵行为时,会及时通知管理人员,并由管理人员采用相关措施,例如断开网络连接等(比特币勒索病毒在开机时断开网络就能够有效规避)。网络入侵检测技术能够对内部和外部攻击做出反应,是保障计算机网络安全的重要渠道。

1.1统计网络入侵检测技术

统计网络入侵检测技术主要针对异常数据检测的安全技术。该软件能够分析计算机系统的正常运作架构,如果计算机中的某些数据与正常架构存在差异,即判断为网络数据异常。虽然该技术的出现较早,但相对其他技术更加成熟,应用范围也更为广泛。但缺点也非常明显,就是统计方法不适用于单独使用,其中的阈值确定比较困难,很多黑客高手很容易利用隐藏病毒侵入电脑。

1.2数据挖掘技术

数据挖掘技术在当今杀毒软件中的应用非常广泛,只要卸载电脑中的杀毒软件或安全卫士,如果让用户重启电脑,即表示该软件中融入了数据挖掘技术。该技术是一项通用的知识发现技术,从海量计算机数据中挖掘隐藏的规律性知识。该技术的优点在于能够处理大量数据,并且具有很强的数据分析能力。因此,数据挖掘技术在网络入侵检测和预防方面有着极大优势。但其缺点也非常明显,例如挖掘技术的实现方法较难,需要开发有效的数据挖掘算法与体系,简单来说在计算机数据中提出框架比较困难。

1.3神经网络技术

神经网络技术能够学习计算机行为,也就是根据用户使用习惯进行动态变化做出相应调整,同时也允许背景数据和模糊数据的存在,能够有效避免误杀等问题。神经网络技术具有非常强的学习能力,但神经网络技术模型实现非常困难,学习与决策系统的权衡性非常难以控制。因此,在采用神经网络入侵检测过程中,如果开发商技术不够成熟,会出现误杀问题,影响系统的稳定性,反而影响了用户操作。在国际中卡巴斯基杀毒软件(收费版)对神经网络技术的研究处于领先地位,但依然存在误杀问题,因此,该技术还有待完善。

1.4专家系统技术

专家系统技术是近些年研究出来的网络入侵检测新技术,该技术不仅能够实现知识推理,同时也具备自动学习的功能,随着计算机在运行中规则不断增多,其学习能力与推理能力也在不断提高,并通过构建专家知识库,从而不断提高侵入检测性能。专家知识库主要是模仿木马病毒攻击场景,并根据模拟攻击形态不断完善计算机网络系统。专家系统技术非常依赖于知识库的完整性,模拟入侵特征与表达方法是该技术的核心。该技术在当今杀毒软件和防火墙中的应用非常广泛,如360、金山等软件都融入了专家系统技术。专家系统技术具有一定的智能性,通过规则关联的方式分析和规则集(专家库)能够有效提高入侵检测效率,对于逻辑性较强的病毒来说具有明显效果。缺点是推理和学习效率不高会严重影响整个技术的作用发挥,因此,加强学习能力和推理能力是关键。

1.5模型推理技术

模型推理技术与专家系统技术有着异曲同工之处,但其病毒模拟功能要强于专家系统。模型推理技术通过构建一个入侵行为检测模型,并根据相关关联分析多种病毒结构,从而检测出关联入侵行为。该技术在入侵防护面上更加全面,并且带有一定的预见性。其缺点是需要对每个攻击和每种系统都要构建相关的入侵模型,并且要事先认定病毒攻击模式从而定义参数,这就导致攻击实现方法与原理存在一定的差异,导致模型出现漏洞,如果新型病毒出现,将无法实现全面防护。

2加强网络入侵检测系统的优化措施

2.1优化报文捕获系统

在高速网络环境下,数据报文捕获系统通常会产生多余的数据拷贝或中断问题,这会在一定程度上占用CPU资源,导致电脑变慢、变卡,对系统的入侵检测性能有着明显影响。想要降低CPU占用率,就必须要优化报文捕获系统,强化系统性能,这就需要引入零拷贝技术与TOE思想。其中,零拷贝技术在DMA传送技术与内存区域上的应用非常广泛,通过取消对用户空间与内存空间的数据拷贝,在拷贝过程中不会占用CPU空间资源,这样用户就能够拥有更多CPU资源做其他的事情。报文捕获系统通过引入TOE思想,能够有效提高捕获性能与灵活程度,捕获系统会根据不同软件进行参数调整与修改。同时,内部使用的MAC芯片能够提高网络计算效率,例如校检计算、MAC地址过滤等,从而提高入侵检测技术的性能。

2.2优化入侵分析方法

由于我国宽带技术不断发展,网络数据流量不断的扩展,同时病毒如今特性更加多元化,这进一步提高了入侵检测技术的防护难度,严重影响入侵检测性能与效率。因此,为了能够满足高速网络环境要求,必须要加强入侵检测分析效率,从多个方面进行改进与创新。在高速网络环境下,由于数据包传输速率已经远远高于系统处理能力,这时就会产生丢包问题。通过负载均衡技术能够将传统的集中数据传输方法转变为并行处理,也就是电路中串联与并联的关系,这样能够有效提高入侵分析能力,减少出现丢包问题的几率。负载均衡机制主要是指在高速网络环境下,入侵检测系统能够通过数据分流的方式,将所捕获的Gbps级数据进行分流,在通过低速入侵检测系统在后端进行并行处理,从而提高入侵监测的及时性与效率性。由于该种结构对负载均衡器有着很高要求,不仅需要前端接受高速数据信息,并且还要将捕获数据进行分析与转发,这些工作工程都是硬件设施来完成。此外,制定有效的负载均衡方案非常重要,在分析方案是否完善时,主要通过多个处理系统负载均衡和数据转发完整性两大指标进行衡量。

2.3提高匹配效率

在入侵检测技术中,模式匹配问题已经成为检测系统发展的重要阻碍。据有关数据调查显示,模式匹配系统检测系统中的运行时间最长,大约在整个检测系统中1/3。因此,我们必须要提高匹配效率、优化匹配方法。由于当前都是采用特征模式匹配,将模式匹配算法记性优化能够有效提高入侵检测效率。当下比较流行的匹配算法有BM算法、多模式匹配的AC-BM和Wu-Manber算法等。其中BM算法虽然是单模式算法中最强的一种,但局限与提高单条规则匹配效率问题,无法提高整个规则与匹配效率缺陷。AC-BM和Wu-Manber算法虽然效率比较高,但也存在很多有待完善之处,如AC-BM对系统内存要求严格等。因此,技术人员也提出了一种Piranha算法等匹配算法,该算法能够降低系统丢包率、漏报率、错报率等,并保障入侵检测系统内部平衡。该算法是一种动态调整方法,能有效对整个网络实施控制,从而发挥入侵检测技术的最优性能。

3结束语

随着我国网络信息技术不断发展,在高速网络环境下,我们必须要强化入侵检测技术,降低类同“比特币勒索病毒”对用户的影响,这样才能够保障我国信息网络领域健康发展,推动我国经济平稳发展。

参考文献:

[1]史志才,夏永祥.高速网络环境下的入侵检测技术研究综述[J].计算机应用研究,2010.

[2]纪威.基于高速网络环境的入侵检测系统分析研究[J].计算机与网络,2012.

[3]刘玉梅,马伟华,叶飞.高速网络环境下的入侵检测技术[J].计算机与数字工程,2008.

[4]吴宏兵.基于高速网络环境下入侵检测系统的性能优化分析[J].网络安全技术与应用,2015.

作者:徐剑烈 单位:北海边防检查站