前言：中文期刊網(wǎng)精心挑選了入侵檢測(cè)技術(shù)范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

入侵檢測(cè)技術(shù)范文1

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測(cè)；技術(shù)

隨著互聯(lián)網(wǎng)使用在我們?nèi)粘９ぷ魃钪械氖褂萌找骖l繁以及相關(guān)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)入侵技術(shù)已經(jīng)得到了相當(dāng)程度的普及，越來越多的人使用黑客工具對(duì)網(wǎng)絡(luò)上的其他用戶進(jìn)行攻擊，由此引發(fā)的網(wǎng)絡(luò)安全問題也隨之越來越嚴(yán)重，很多組織正在致力于提出更多的更強(qiáng)大的主動(dòng)策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，傳統(tǒng)的各種靜態(tài)安全防御體系，如防火墻、身份認(rèn)證及數(shù)據(jù)加密技術(shù)雖然已經(jīng)比較成熟，但這些技術(shù)并不能夠組建成完整的安全防御體系。因此，入侵檢測(cè)技術(shù)就應(yīng)運(yùn)而生，在入侵檢測(cè)之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對(duì)策。因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢測(cè)能夠根據(jù)網(wǎng)絡(luò)攻擊行為的蹤跡和規(guī)律發(fā)現(xiàn)入侵行為，是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全系統(tǒng)，它不僅可以發(fā)現(xiàn)已知入侵行為，還能夠發(fā)現(xiàn)未知的入侵行為，并可以通過自我學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。

一、入侵檢測(cè)的定義

入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充或補(bǔ)償，處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)，從系統(tǒng)（網(wǎng)絡(luò)）的關(guān)鍵點(diǎn)采集信息并分析信息，察看系統(tǒng)（網(wǎng)絡(luò)）中是否有違法安全策略的行為，保證系統(tǒng)（網(wǎng)絡(luò)）的安全性，完整性和可用性。[1]它是幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊的積極防御技術(shù)，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)架構(gòu)的完整性。

二、入侵檢測(cè)的系統(tǒng)功能構(gòu)成

一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。

入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對(duì)入侵者進(jìn)行定位。入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制，入侵檢測(cè)系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個(gè)檢測(cè)單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。[2]

三、入侵檢測(cè)的技術(shù)分類

入侵檢測(cè)系統(tǒng)按照數(shù)據(jù)來源收集方式的不同，分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)兩種。

1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過分析主機(jī)之間網(wǎng)線上傳輸?shù)男畔砉ぷ鞯模话闶抢靡粋€(gè)工作在“混雜模式”下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流。在Internet中，任何一臺(tái)主機(jī)發(fā)送的數(shù)據(jù)包，都會(huì)在所經(jīng)過的網(wǎng)絡(luò)中進(jìn)行廣播，也就是說，任何一臺(tái)主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)接收。在正常設(shè)置下，主機(jī)的網(wǎng)卡對(duì)每一個(gè)到達(dá)的數(shù)據(jù)包進(jìn)行過濾，只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時(shí)候，對(duì)網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下，雖然可能不采用廣播的方式傳送報(bào)文，但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報(bào)文監(jiān)視功能。

2.基于主機(jī)的入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)是比較早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，它的檢測(cè)目的主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶，檢測(cè)原理是根據(jù)主機(jī)的審計(jì)日志信息發(fā)現(xiàn)不正常的事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)上，還可以運(yùn)行在單獨(dú)的主機(jī)上。

檢測(cè)系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對(duì)系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機(jī)日志的安全審計(jì)，通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為。基于主機(jī)的入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高，分析代價(jià)小，分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步分析。[3]目前很多是基于主機(jī)日志分析的入侵檢測(cè)系統(tǒng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)存在的問題是：首先它在一定程度上依賴于系統(tǒng)的可靠性，它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置，然后才能提取入侵信息；即使進(jìn)行了正確的設(shè)置，對(duì)操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時(shí)地將系統(tǒng)日志抹去，從而不被發(fā)覺；并且主機(jī)的日志能夠提供的信息有限，有的入侵手段和途徑不會(huì)在日志中有所反映，日志系統(tǒng)對(duì)有的入侵行為不能做出正確的響應(yīng)，例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊，通過ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機(jī)，或是利用ARP欺騙來偽裝成其他主機(jī)進(jìn)行通信，這些手段都不會(huì)被高層的日志記錄下來。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面基于主機(jī)日志的入侵檢測(cè)系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。[4]

四、入侵檢測(cè)的技術(shù)發(fā)展方向

如今，入侵檢測(cè)系統(tǒng)的技術(shù)發(fā)展方向有以下幾個(gè)：

1.分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。[5]

2.應(yīng)用層入侵檢測(cè)

許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測(cè)如WEB之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。[6]許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。

3.智能的入侵檢測(cè)

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

入侵檢測(cè)技術(shù)作為一種主動(dòng)的安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全提供全方位的保護(hù)。但是，由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及目前檢測(cè)方法還不是十分有效，因此，在以后相當(dāng)長(zhǎng)的一個(gè)時(shí)期內(nèi)，入侵檢測(cè)系統(tǒng)仍會(huì)是網(wǎng)絡(luò)信息安全領(lǐng)域內(nèi)的一個(gè)相當(dāng)重要的研究課題，其主要目標(biāo)還是盡量降低以至消除誤報(bào)和漏報(bào)。

參考文獻(xiàn)：

[1]劉奇有，程思遠(yuǎn).淺談網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2000（1）：65-68.

[2]王玉梅，張常有，尹士閃.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].軟件導(dǎo)刊，2007（10）：117-118.

[3][美]Rebecca Gurley Bace.入侵檢測(cè)[M].人民郵電出版社，1991.

[4]王鳳英，程震.網(wǎng)絡(luò)與信息安全[M].北京：中國(guó)鐵道出版社，2006.

[5]朱艷萍，楊意飛.基于人工免疫的入侵檢測(cè)技術(shù)研究[J].軟件導(dǎo)刊，2008（4）：75-76.

入侵檢測(cè)技術(shù)范文2

入侵檢測(cè)是檢測(cè)和識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，或者違反安全策略事件的過程。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)環(huán)境中采集數(shù)據(jù)，分析數(shù)據(jù)，發(fā)現(xiàn)可疑攻擊行為或者異常事件，并采取一定的響應(yīng)措施攔截攻擊行為，降低可能的損失。在入侵檢測(cè)系統(tǒng)中，系統(tǒng)將用戶的當(dāng)前操作所產(chǎn)生的數(shù)據(jù)同用戶的歷史操作數(shù)據(jù)根據(jù)一定的算法進(jìn)行檢測(cè)，從而判斷用戶的當(dāng)前操作是否屬于入侵行為，然后系統(tǒng)根據(jù)檢測(cè)結(jié)果采取相應(yīng)的行動(dòng)。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)能很好地彌補(bǔ)防火墻的不足，從某種意義上說是防火墻的補(bǔ)充。入侵檢測(cè)技術(shù)是計(jì)算機(jī)安全技術(shù)中的重要部分，它從計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢測(cè)計(jì)算機(jī)系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)在幾乎不影響計(jì)算機(jī)系統(tǒng)性能的情況下能對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并對(duì)系統(tǒng)提供針對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。入侵檢測(cè)技術(shù)通過對(duì)入侵行為的過程與特征的研究，使安全系統(tǒng)對(duì)入侵事件和入侵過程能做出實(shí)時(shí)響應(yīng)。入侵檢測(cè)技術(shù)擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2入侵檢測(cè)技術(shù)分類

（1）從數(shù)據(jù)的來源看

入侵檢測(cè)通常可以分為兩類:基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)。基于主機(jī)的入侵檢測(cè)通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)源，并輔之以主機(jī)上的其他信息，例如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等，在此基礎(chǔ)上完成檢測(cè)攻擊行為的任務(wù)。基于網(wǎng)絡(luò)的入侵檢測(cè)通過監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來獲得必要的數(shù)據(jù)來源，并通過協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為。從數(shù)據(jù)分析手段來看，入侵檢測(cè)通常又可以分為兩類:誤用入侵檢測(cè)和異常入侵檢測(cè)。誤用檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。誤入侵檢測(cè)的定義為:識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過程。入侵檢測(cè)系統(tǒng)則是完成如上功能的獨(dú)立系統(tǒng)。入侵檢測(cè)系統(tǒng)能夠檢測(cè)未授權(quán)對(duì)象，針對(duì)系統(tǒng)的入侵企圖或行為，同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。

（2）從數(shù)據(jù)分析手段看

入侵檢測(cè)通常可以兩類：濫用入侵檢測(cè)和異常入侵檢測(cè)。濫用入侵檢測(cè)的技術(shù)基礎(chǔ)是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合形成特征庫(kù)或者模式庫(kù)，濫用入侵檢測(cè)利用形成的特征庫(kù)，對(duì)當(dāng)前的數(shù)據(jù)來源進(jìn)行各種分析處理后，再進(jìn)行特征匹配或者規(guī)則匹配工作，如果發(fā)現(xiàn)滿足條件的匹配，則指示已經(jīng)發(fā)生了一次攻擊行為然后入侵檢測(cè)系統(tǒng)的響應(yīng)單元做出相應(yīng)的處理。異常入侵檢測(cè)是通過觀察當(dāng)前活動(dòng)與系統(tǒng)歷史正常活動(dòng)情況之間的差異來實(shí)現(xiàn)。這就需要異常入侵檢測(cè)建立一個(gè)關(guān)于系統(tǒng)正常活動(dòng)的狀態(tài)模型并不斷更新，然后將用戶當(dāng)前的活動(dòng)情況與這個(gè)正常模型進(jìn)行對(duì)比，如果發(fā)現(xiàn)了超過設(shè)定值的差異程度，則指示發(fā)現(xiàn)了非法攻擊行為。

相比較而言，濫用入侵檢測(cè)比異常入侵檢測(cè)具備更好的確定解釋能力，即明確指示當(dāng)前發(fā)生的攻擊手段類型，另外，濫用入侵檢測(cè)具備較高的檢測(cè)率和較低的虛警率，開發(fā)規(guī)則庫(kù)和特征集合相對(duì)于建立系統(tǒng)正常模型而言，要更容易、更方便。但是，濫用入侵檢測(cè)只能檢測(cè)到已知的攻擊模式，模式庫(kù)只有不段更新才能檢測(cè)到新的攻擊類型。而異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)到未知的入侵行為，盡管可能無法明確指示是何種類型。從現(xiàn)有的實(shí)際系統(tǒng)來看，大多數(shù)都是基于濫用入侵檢測(cè)技術(shù)，同時(shí)也結(jié)合使用異常入侵檢測(cè)技術(shù)，提高了檢測(cè)率并降低了虛警率。

3數(shù)據(jù)庫(kù)系統(tǒng)的安全

數(shù)據(jù)庫(kù)系統(tǒng)的安全框架可分為三個(gè)層次:網(wǎng)絡(luò)系統(tǒng)層次、宿主操作系統(tǒng)層次和數(shù)據(jù)庫(kù)管理系統(tǒng)層次。由于數(shù)據(jù)庫(kù)系統(tǒng)在操作系統(tǒng)下都是以文件形式進(jìn)行管理的，因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫(kù)文件，或者直接利用OS工具來非法偽造、篡改數(shù)據(jù)庫(kù)文件內(nèi)容。因此，數(shù)據(jù)庫(kù)系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫(kù)管理系統(tǒng)。如果數(shù)據(jù)庫(kù)管理系統(tǒng)安全機(jī)制非常強(qiáng)大，則數(shù)據(jù)庫(kù)系統(tǒng)的安全性能就較好。根據(jù)數(shù)據(jù)庫(kù)安全的三個(gè)層次，筆者提出了一個(gè)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)，其外層用基于網(wǎng)絡(luò)的入侵檢測(cè)，中間層用基于主機(jī)的入侵檢測(cè)，內(nèi)層采用入侵容忍。此系統(tǒng)采用系統(tǒng)整體安全策略，綜合多種安全措施，實(shí)現(xiàn)了系統(tǒng)關(guān)鍵功能的安全性和健壯性。

4數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)

數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)借鑒了針對(duì)網(wǎng)絡(luò)和針對(duì)主機(jī)的入侵檢測(cè)技術(shù)，在此基礎(chǔ)上，又考慮了數(shù)據(jù)庫(kù)自身的特點(diǎn)。按照檢測(cè)方法分為:誤用檢測(cè)和反常檢測(cè)。

（1）數(shù)據(jù)庫(kù)誤用檢測(cè)

誤用檢測(cè)是指將已知的攻擊特征存儲(chǔ)在誤用特征知識(shí)庫(kù)里面，然后根據(jù)用戶的當(dāng)前操作行為與知識(shí)庫(kù)里的誤用入侵規(guī)則進(jìn)行匹配檢驗(yàn)，如果符合知識(shí)庫(kù)中的入侵特征，則說明發(fā)生了入侵。誤用特征知識(shí)庫(kù)中的入侵規(guī)則由安全專家定義，可以隨時(shí)添加、修改，然后保存在知識(shí)庫(kù)中，用來對(duì)審計(jì)數(shù)據(jù)進(jìn)行匹配比較。誤用檢測(cè)的優(yōu)點(diǎn)是檢測(cè)的準(zhǔn)確率高，缺點(diǎn)是只能對(duì)已知的攻擊特征進(jìn)行匹配檢驗(yàn)，對(duì)未知的攻擊類型無法發(fā)現(xiàn)，而對(duì)未知攻擊類型的檢測(cè)要依靠異常檢測(cè)。所以，誤用檢測(cè)常常與異常檢測(cè)結(jié)合起來使用。

（2）數(shù)據(jù)庫(kù)反常入侵檢測(cè)

反常檢測(cè)是指將用戶正常的習(xí)慣行為特征存儲(chǔ)在特征數(shù)據(jù)庫(kù)中，然后將用戶當(dāng)前行為特征與特征數(shù)據(jù)庫(kù)中的特征進(jìn)行比較，若兩者偏差足夠大，則說明發(fā)生了反常。這種方法的優(yōu)勢(shì)在于它能從大量數(shù)據(jù)中提取人們感興趣的、事先未知的知識(shí)和規(guī)律，而不依賴經(jīng)驗(yàn)，應(yīng)用在基于數(shù)據(jù)庫(kù)的入侵檢測(cè)系統(tǒng)中，可以從大量的數(shù)據(jù)中發(fā)現(xiàn)有助于檢測(cè)的知識(shí)和規(guī)則。

參考文獻(xiàn)：

［1］唐正軍.入侵檢測(cè)技術(shù)導(dǎo)論［M］.機(jī)械工業(yè)出版社,2004.

［2］戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測(cè)［M］.清華大學(xué)出版社,2002.

［3］玄加林,才書訓(xùn).入侵監(jiān)測(cè)系統(tǒng)現(xiàn)狀與展望［J］.計(jì)算機(jī)時(shí)代,2005,8.

［4］李新遠(yuǎn),吳宇紅,狄文遠(yuǎn).基于數(shù)據(jù)發(fā)掘的入侵檢測(cè)建模［J］.計(jì)算機(jī)工程,2002,2.

［5］胡昌振.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)［M］.北京理工大學(xué)出版社,1996.

入侵檢測(cè)技術(shù)范文3

第三次科技革命開展以來，世界越來越被連成一個(gè)整體，信息技術(shù)的高速發(fā)展使得信息的傳遞和使用常態(tài)化，作為當(dāng)今最大的發(fā)展中國(guó)家，計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的安全與穩(wěn)定關(guān)系到國(guó)家安全和人民生活的隱私保護(hù)。由于人們對(duì)使用網(wǎng)絡(luò)技術(shù)的追求不斷提高，當(dāng)前如何保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)問題成了社會(huì)各界關(guān)注的重點(diǎn)，本文以計(jì)算機(jī)數(shù)據(jù)庫(kù)入手，分析如何通過計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)以保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)。

關(guān)鍵詞：

計(jì)算機(jī)數(shù)據(jù)庫(kù)；入侵檢測(cè)技術(shù)；分析

隨著當(dāng)前互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，人們的生活已經(jīng)進(jìn)入到計(jì)算機(jī)時(shí)代，各種信息的傳遞和應(yīng)用，凸顯了網(wǎng)絡(luò)技術(shù)無可比擬的優(yōu)越性。但是，任何事物都有優(yōu)缺點(diǎn)，互聯(lián)網(wǎng)技術(shù)也存在安全問題。由于計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放的、自由的平臺(tái)，其在使用過程中也存在巨大的安全隱患，黑客的存在使得計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全問題成為當(dāng)前保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全急需解決的首要問題。

一、防范計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵的重要性

所謂的計(jì)算機(jī)數(shù)據(jù)庫(kù)保護(hù)，就是通過建立一種入侵檢測(cè)技術(shù)，及時(shí)發(fā)現(xiàn)系統(tǒng)可能存在的漏洞，然后針對(duì)這些漏洞查明原因，再根據(jù)具體的問題提出解決的措施，以及時(shí)應(yīng)對(duì)出現(xiàn)的問題。數(shù)據(jù)庫(kù)作為計(jì)算機(jī)系統(tǒng)的核心部位，關(guān)系到對(duì)整個(gè)信息的保護(hù)與整理，關(guān)系到國(guó)家、集體和個(gè)人的利益問題。當(dāng)前，由于黑客的存在使得計(jì)算機(jī)信息的保密性、安全性、可靠性問題受到巨大的挑戰(zhàn)，如果計(jì)算機(jī)數(shù)據(jù)庫(kù)遭到黑客入侵，將會(huì)帶來巨大的損失。所以，在經(jīng)濟(jì)、科技高速發(fā)展的今天，隨著社會(huì)各方面競(jìng)爭(zhēng)的不斷加劇，如何盡最大可能保護(hù)整個(gè)信息系統(tǒng)的安全，關(guān)系到一個(gè)社會(huì)文化、經(jīng)濟(jì)等的健康、快速發(fā)展。

二、計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的功能

計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)按照檢測(cè)方法的不同可以分成兩種類型，分別為反常檢測(cè)和誤用檢測(cè)，下文將對(duì)此進(jìn)行詳細(xì)介紹。1.反常入侵檢測(cè)。反常入侵檢測(cè)就是指計(jì)算機(jī)數(shù)據(jù)庫(kù)中會(huì)存儲(chǔ)用戶平時(shí)習(xí)慣性的行為特征，將用戶本次的操作行為特征和數(shù)據(jù)庫(kù)中存儲(chǔ)的行為特征進(jìn)行比較，如果二者之間的差距比較大，就說明此次操作出現(xiàn)了反常。這種入侵檢測(cè)方法的優(yōu)點(diǎn)就是可以掌握用戶的操作習(xí)慣，當(dāng)發(fā)生問題時(shí)可以不依靠經(jīng)驗(yàn)而從大量的數(shù)據(jù)信息中找出有用的信息。2.誤用入侵檢測(cè)。所謂誤用入侵檢測(cè)就是指知識(shí)庫(kù)中會(huì)存儲(chǔ)一些已經(jīng)知道了的入侵行為特征，將用戶此次的行為特征和知識(shí)庫(kù)中已經(jīng)儲(chǔ)存的入侵行為特征進(jìn)行比對(duì)，如果二者之間沒有差別，則說明出現(xiàn)了誤用入侵行為。知識(shí)庫(kù)中所存儲(chǔ)的入侵信息是由專業(yè)的人員進(jìn)行設(shè)定的，相關(guān)負(fù)責(zé)人員可以對(duì)知識(shí)庫(kù)中存儲(chǔ)的信息進(jìn)行修改、編輯。這種入侵檢測(cè)方法最大的優(yōu)點(diǎn)就是準(zhǔn)確性比較高。但也存在一定的局限性，即只能對(duì)已知的入侵行為進(jìn)行檢測(cè)，如果出現(xiàn)未知的入侵行為則無法使用這種方法。通常情況下，會(huì)將反常入侵檢測(cè)和誤用入侵檢測(cè)結(jié)合在一起使用。

三、計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)存在的問題

相比于國(guó)外發(fā)達(dá)國(guó)家而言，我國(guó)在計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)領(lǐng)域的研究起步比較晚，現(xiàn)階段我國(guó)的計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)研究仍處于初始階段，發(fā)展速度比較緩慢，檢測(cè)系統(tǒng)也不完善，很多高新技術(shù)還處于理論研究階段，難以發(fā)揮實(shí)際的作用。目前，我國(guó)計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)還存下述幾個(gè)方面的問題。

1.誤報(bào)率比較高。計(jì)算機(jī)數(shù)據(jù)庫(kù)作為計(jì)算機(jī)系統(tǒng)的核心部位，包含了大量的計(jì)算機(jī)信息資源，不僅信息量巨大，而且內(nèi)容復(fù)雜、分類繁瑣。在對(duì)這些信息進(jìn)行保護(hù)或者是檢測(cè)的過程中，僅僅是單純依靠防火墻將很難達(dá)到理想的效果。現(xiàn)有的檢測(cè)技術(shù)不能正確的將可能出現(xiàn)的問題完全檢測(cè)出來，例如對(duì)于一些比較隱蔽的問題，沒有通過檢測(cè)技術(shù)找出來；對(duì)于一些正確的、安全的信息被認(rèn)為是具有攻擊性的、來自外部的信息，這些都有可能影響檢測(cè)系統(tǒng)的正常運(yùn)行，從而降低檢測(cè)效率，誤報(bào)可能性高，大大降低了數(shù)據(jù)庫(kù)的質(zhì)量。

2.檢測(cè)效率低。計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)的存在就是為了能及時(shí)發(fā)現(xiàn)可能出現(xiàn)的信息入侵，及時(shí)識(shí)別并生成數(shù)據(jù)，做出對(duì)攻擊行為的判斷，以此保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全。但是，由于網(wǎng)絡(luò)攻擊行為是將二進(jìn)制碼轉(zhuǎn)換后完成的，所以檢測(cè)系統(tǒng)還需要先匹配大量二進(jìn)制碼，將其編碼后才能做出是否攻擊的行為判斷。這些過程和步驟都需要有高效率的計(jì)算量做保障，因此，由于當(dāng)前的檢測(cè)技術(shù)存在問題，導(dǎo)致檢測(cè)效率低，不僅浪費(fèi)時(shí)間，而且浪費(fèi)檢測(cè)費(fèi)用，使得計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全問題得不到及時(shí)、有效的保障。

3.入侵檢測(cè)系統(tǒng)自身防護(hù)能力差。計(jì)算機(jī)技術(shù)本就是與相關(guān)專業(yè)知識(shí)、理論體系緊密結(jié)合的專業(yè)技術(shù)，其在發(fā)展過程中需要大量具有專業(yè)素質(zhì)的人才。然而在檢測(cè)技術(shù)發(fā)展過程中，由于我國(guó)起步較晚，檢測(cè)技術(shù)發(fā)展存在一些無法忽視的漏洞和安全隱患，同時(shí)，相關(guān)專業(yè)知識(shí)儲(chǔ)備的人才較少，導(dǎo)致檢測(cè)技術(shù)本身就存在大量的問題。檢測(cè)技術(shù)的存在本就是為了保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)，但是如果有專業(yè)的外部攻擊或者是病毒入侵，檢測(cè)技術(shù)很難自保，極易出現(xiàn)檢測(cè)系統(tǒng)不能正常運(yùn)轉(zhuǎn)或者是崩潰的局面。

四、計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的應(yīng)用分析

1.計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)。在對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行保護(hù)的過程中，利用入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)此系統(tǒng)下可能出現(xiàn)的問題的一個(gè)重要方法就是針對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)本身的結(jié)構(gòu)，將計(jì)算機(jī)數(shù)據(jù)庫(kù)合理劃分成不同的層次，然后對(duì)其進(jìn)行分類別保護(hù)。我們知道，計(jì)算機(jī)數(shù)據(jù)庫(kù)的管理系統(tǒng)層、宿主的操作系統(tǒng)層和網(wǎng)絡(luò)系統(tǒng)層是計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的三個(gè)重要組成層次，因此，計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)可以從這三個(gè)層面進(jìn)行分析，并通過研究不同層面的技術(shù)以保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)。例如，對(duì)于其外層來說，利用基于網(wǎng)絡(luò)系統(tǒng)的入侵檢測(cè)技術(shù)；針對(duì)中層來說，主要是利用主機(jī)系統(tǒng)，通過制訂路徑檢測(cè)技術(shù)以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的檢測(cè)；針對(duì)內(nèi)層來說，通過建立入侵容忍技術(shù)以不斷完善檢測(cè)技術(shù)。

2.建立計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)模型。對(duì)于計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)來說，其對(duì)入侵系統(tǒng)和攻擊行為的檢測(cè)不是單一的過程，需要各個(gè)步驟之間相互配合，通過采集數(shù)據(jù)、處理數(shù)據(jù)、挖掘數(shù)據(jù)、知識(shí)的規(guī)則庫(kù)、提取特征、入侵檢測(cè)六個(gè)方面以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的檢測(cè)與分析。從這六個(gè)過程的本質(zhì)可以看出其包含三個(gè)板塊，包括采集數(shù)據(jù)模塊、檢測(cè)分析數(shù)據(jù)模塊和報(bào)警響應(yīng)模塊，通過這三個(gè)模塊的應(yīng)用，可以根據(jù)收集到的原有數(shù)據(jù)了解正常模式下的操作數(shù)據(jù)，從而與現(xiàn)有的數(shù)據(jù)相對(duì)比，檢測(cè)計(jì)算機(jī)數(shù)據(jù)庫(kù)是否遭到不合理入侵，是否需要出具警示標(biāo)志，是否需要做出行動(dòng)阻止這些行為。因此通過規(guī)范的檢測(cè)步驟和條理清晰的模塊組織以實(shí)現(xiàn)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的保護(hù)。

3.建立統(tǒng)一的數(shù)據(jù)庫(kù)知識(shí)標(biāo)準(zhǔn)。掌握計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵的特點(diǎn)對(duì)于實(shí)施計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)具有一定的幫助，因此要重視計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵特點(diǎn)的分析和研究。在數(shù)據(jù)挖掘領(lǐng)域比較常用的一種方法就是相關(guān)研究。通過相關(guān)研究可以將潛在入侵行為進(jìn)行整理研究，從而加快對(duì)潛在入侵行為的處理速度。此外，采用這種方法主要包括兩個(gè)方面的內(nèi)容。第一，就是檢查數(shù)據(jù)庫(kù)復(fù)雜項(xiàng)集，一般都是通過迭代技術(shù)完成檢查任務(wù)。在檢查數(shù)據(jù)庫(kù)復(fù)雜項(xiàng)集時(shí)需要重新掃描數(shù)據(jù)庫(kù)，以確保其準(zhǔn)確性；第二，要采用一定的方法將復(fù)雜項(xiàng)集轉(zhuǎn)換成相關(guān)的規(guī)定，完成這個(gè)轉(zhuǎn)換過程就會(huì)生產(chǎn)另一種規(guī)則，系統(tǒng)會(huì)按照新的規(guī)則繼續(xù)運(yùn)行。因此，為了防止計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵行為的發(fā)生，要建立統(tǒng)一的數(shù)據(jù)庫(kù)知識(shí)標(biāo)準(zhǔn)，加強(qiáng)計(jì)算機(jī)數(shù)據(jù)庫(kù)的防御性。

五、總結(jié)

依靠科技技術(shù)、知識(shí)的發(fā)展，進(jìn)入信息時(shí)代的今天，國(guó)家經(jīng)濟(jì)的發(fā)展、人民的生活已經(jīng)離不開計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。針對(duì)信息系統(tǒng)出現(xiàn)的一系列安全問題，為保障國(guó)家安全與維護(hù)集體利益，通過研發(fā)與利用新的計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)，及時(shí)發(fā)現(xiàn)可能出現(xiàn)的攻擊行為和信息入侵，通過提高檢測(cè)效率和增加檢測(cè)識(shí)別的準(zhǔn)確性以實(shí)現(xiàn)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)的保護(hù)，維護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全。

參考文獻(xiàn)：

[1]樂瑞卿.計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011

[2]馬黎.王化喆.試析計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)的應(yīng)用[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2015

入侵檢測(cè)技術(shù)范文4

關(guān)鍵詞:入侵檢測(cè);網(wǎng)絡(luò)安全;計(jì)算機(jī)應(yīng)用;信息;程序設(shè)計(jì);VC

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2010) 03-0026-01

Network Intrusion Detection Technology Analysis and Applied Research

Lu Li,Lu Yi

(Changsha City Health School,Changsha 410100,China)

Abstract:Firstly thesis analyse the concept of intrusion detection, pointing out the development of intrusion detection, with data analysis view, point out its basic classification. As a practice,finally gives a basic network intrusion detection program implementation, in order to play a reference role in program development

Keywords:Intrusion detection;Network security;Computer applications;Information;Program design;VC

一、入侵檢測(cè)技術(shù)綜述

(一)入侵檢測(cè)的技術(shù)分類

當(dāng)前入侵檢測(cè)技術(shù),從數(shù)據(jù)分析角度不同,可以分為誤用模型的入侵檢測(cè)以及異常入侵檢測(cè)系統(tǒng)兩種。前者做一個(gè)基本假設(shè):一切來自網(wǎng)絡(luò)及本地的安全入侵都可以按某種方式被精確地編碼,并通過對(duì)已知的各種入侵形式進(jìn)行相應(yīng)的編碼,來構(gòu)成入侵模式庫(kù)。這種方式通過采樣網(wǎng)絡(luò)安全相關(guān)的特征數(shù)據(jù),而且與入侵模式庫(kù)中的模式進(jìn)行匹配來實(shí)現(xiàn)。異常檢測(cè)系統(tǒng)首先通過對(duì)宿主計(jì)算機(jī)系統(tǒng)中的一組與安全相關(guān)的特征屬性的取值進(jìn)行統(tǒng)計(jì)和分析,為系統(tǒng)正常運(yùn)行狀態(tài)下的行為建立起一個(gè)特征輪廓印。然后不斷監(jiān)測(cè)這些安全相關(guān)特征屬性的實(shí)時(shí)取值,與正常行為特征輪廓出現(xiàn)大的差異時(shí)檢測(cè)入侵。

二、入侵檢測(cè)的程序?qū)嵺`

(一)系統(tǒng)總體設(shè)計(jì)

本系統(tǒng)將實(shí)現(xiàn)為一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),本系統(tǒng)采用誤用檢測(cè)技術(shù)。與普通的采用誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)相比,該系統(tǒng)內(nèi)部并沒有設(shè)置復(fù)雜的特征庫(kù),所有的入侵模式都要用戶自己設(shè)置,然后依據(jù)這些模式對(duì)入侵行為進(jìn)行攔截或放行。

(二)系統(tǒng)功能模塊

1.網(wǎng)絡(luò)數(shù)據(jù)收集及檢測(cè)引擎

本部分采用應(yīng)用層截包方案,即在驅(qū)動(dòng)程序中截包,然后送到應(yīng)用層處理的工作模式。在應(yīng)用層工作,改變了工作模式,每當(dāng)驅(qū)動(dòng)程序截到數(shù)據(jù),送到應(yīng)用層處理后再次送回內(nèi)核,再向上傳遞到IP協(xié)議。綜合考慮各種因素,本部分決定采用應(yīng)用層的截包方案。

2.驅(qū)動(dòng)程序攔截網(wǎng)絡(luò)數(shù)據(jù)包的方式

利用驅(qū)動(dòng)程序攔截網(wǎng)絡(luò)數(shù)據(jù)包的方式很多,本系統(tǒng)采用Win2k Filter-Hook Driver攔截?cái)?shù)據(jù)包。在win2000設(shè)備程序開發(fā)包(DDK)中,微軟包含一個(gè)新的命名為Filter-Hook Driver的網(wǎng)絡(luò)驅(qū)動(dòng)程序。本程序采用 DrvFltIp.sys 驅(qū)動(dòng)程序?qū)崿F(xiàn)IP協(xié)議過濾。其中回調(diào)函數(shù)是這類驅(qū)程的主體部分。DrvFltIp.sys IP過濾驅(qū)動(dòng)程序使用這個(gè)過濾鉤子來判斷IP數(shù)據(jù)包的處理方式。所注冊(cè)的過濾鉤子是用PacketFilterExtensionPtr數(shù)據(jù)類型定義的。Filter-Hook使用該I/O控制碼建立一個(gè)IRP,并將其提交給IP過濾驅(qū)動(dòng)程序。該控制碼向IP過濾驅(qū)動(dòng)程序注冊(cè)過濾鉤子回調(diào)函數(shù),當(dāng)有數(shù)據(jù)包發(fā)送或者接收時(shí),IP過濾驅(qū)動(dòng)程序調(diào)用這些回調(diào)函數(shù)。在本系統(tǒng)中定義了四種設(shè)備控制代碼。分別是開始過濾、停止過濾、添加過濾規(guī)則、清除過濾規(guī)則:

#define START_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX,METHOD_BUFFERED, FILE_ANY_ACCESS)

#define STOP_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+1,METHOD_BUFFERED,FILE_ANY_ACCE SS)

#define ADD_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+2,METHOD_BUFFERED,FILE_WRITE_ACC ESS)

#define CLEAR_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+3,METHOD_BUFFERED,FILE_ANY_ACCES S)

3.SCM管理器

程序通過SCM管理器創(chuàng)建或打開服務(wù)。首先通過語(yǔ)句OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);打開SCM管理器,然后通過CreateService(m_hSCM, IpFltDrv,SERVIC E_AL L_ACCESS,SERVICE_KERNEL_DRIVER,SERVICE_DEMAND_START, SERVIC E_ERROR_NORMAL, IpFltDrv.sys, NULL, 0, NULL, NULL, NULL)啟動(dòng)IP過濾驅(qū)動(dòng);啟動(dòng)IP過濾驅(qū)動(dòng)后,要啟動(dòng)IP過濾鉤子驅(qū)動(dòng),其中驅(qū)動(dòng)程序收到上層發(fā)過來的控制代碼后即按照注冊(cè)的鉤子函數(shù)進(jìn)行入侵檢測(cè)。

4.攻擊模式庫(kù)

該部分由用戶自己設(shè)置。針對(duì)特定的攻擊,設(shè)置攻擊的源IP,端口,及子網(wǎng)掩碼,目的IP,端口,及子網(wǎng)掩碼,然后選擇要攔截或放行的協(xié)議類型。每一次設(shè)置相當(dāng)于一條記錄,可以設(shè)置多條記錄,攻擊模式庫(kù)即由這些記錄共同構(gòu)成。

三、總結(jié)

驅(qū)動(dòng)程序會(huì)按照用戶的選擇對(duì)攔截的數(shù)據(jù)包進(jìn)行處理,在報(bào)警及響應(yīng)過程完畢后,點(diǎn)擊菜單項(xiàng)的ShowReport選項(xiàng),會(huì)對(duì)遭受的攻擊及處理的結(jié)果作出響應(yīng)。該系統(tǒng)可以較好的完成入侵檢測(cè)的功能,保證網(wǎng)絡(luò)的安全。

參考文獻(xiàn):

入侵檢測(cè)技術(shù)范文5

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)路安全；入侵檢測(cè)；防火墻

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)08-1749-03

Discussion on Computer Network Intrusion Detection Technology

QIU Jing

(Hunan Communication Polytechnic, Changsha 410004, China)

Abstract: With the rapid development of computer network technology, the application of computer network has been very widespread. Therefore, the computer network security has become the major concern of current network managers. This paper mainly analyzes a widely used computer network security technology-intrusion detection technology and effectively incorporates it with firewall technology, which greatly improves the network security defense ability.

Key words: computer network; Network security; intrusion detection; firewall

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，其應(yīng)用領(lǐng)域也變得越來越廣泛，幾乎滲透到了人們的工作和日常生活當(dāng)中，給人類的生活帶來了重大的改變。但飛速的網(wǎng)絡(luò)發(fā)展給人類帶來方便的同時(shí)，也帶來了很大的網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)安全問題也變得日益嚴(yán)重，每年因網(wǎng)絡(luò)安全問題帶來的損失巨大，網(wǎng)絡(luò)病毒的傳播、網(wǎng)絡(luò)釣魚網(wǎng)站的誘導(dǎo)以及黑客的木馬攻擊等給廣大的網(wǎng)民帶來了很大的困擾。因此，網(wǎng)絡(luò)安全技術(shù)成為了當(dāng)前必須引起重視的問題。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)主要有防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等，這些網(wǎng)絡(luò)安全技術(shù)是一種基于被動(dòng)的網(wǎng)絡(luò)安全技術(shù)，主要阻止一些來自外部的網(wǎng)絡(luò)攻擊。而入侵檢測(cè)技術(shù)是一種基于主動(dòng)防御的網(wǎng)絡(luò)安全技術(shù)，能有效的阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊，有效彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的不足。

1計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)概述

1.1入侵檢測(cè)定義

入侵檢測(cè)（IDS），是通過監(jiān)控和收集計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的某些關(guān)鍵點(diǎn)信息，并對(duì)這些信息進(jìn)行歸納分析來檢測(cè)入侵者的企圖。直觀的說，就是通過識(shí)別入侵行為，了解入侵者的意圖和目的，網(wǎng)絡(luò)管理員根據(jù)這些入侵信息做出相應(yīng)的防范措施，從而免受系統(tǒng)遭受到不必要的損失。因此，它是一種主動(dòng)防御的安全措施，能夠有效的減少系統(tǒng)被入侵的可能性。

1.2入侵檢測(cè)分類

目前的入侵檢測(cè)系統(tǒng)主要有兩類：基于誤用的入侵檢測(cè)和基于異常的入侵檢測(cè)。基于誤用的入侵檢測(cè)主要是通過模式匹配方法來檢測(cè)入侵行為。基于異常的入侵檢測(cè)主要是通過檢測(cè)系統(tǒng)當(dāng)前行為與正常行為存在一定程度的偏差時(shí)，就判斷系統(tǒng)已受到了攻擊。基于誤用的入侵檢測(cè)的優(yōu)點(diǎn)是檢測(cè)出已知的攻擊準(zhǔn)確率高，缺點(diǎn)是不能發(fā)現(xiàn)未知攻擊。異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)到未知攻擊，缺點(diǎn)是誤報(bào)率較高。

2入侵檢測(cè)系統(tǒng)結(jié)構(gòu)分析

入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)主要由四大部分組成：數(shù)據(jù)收集裝置、檢測(cè)器、知識(shí)庫(kù)、控制器。如圖1所示。

數(shù)據(jù)收集裝置主要負(fù)責(zé)收集系統(tǒng)狀態(tài)信息的相關(guān)數(shù)據(jù)，收集完成后傳遞給檢測(cè)器；檢測(cè)器主要檢測(cè)和分析入侵的企圖和目的，并發(fā)出警報(bào)信號(hào)；知識(shí)庫(kù)主要提供一些數(shù)據(jù)信息的支持；控制器通過接收到的警報(bào)信號(hào)，對(duì)其進(jìn)行分析和研究，做出自動(dòng)或人工的反應(yīng)動(dòng)作，即根據(jù)入侵信息來做出相應(yīng)的防范措施。

3入侵檢測(cè)系統(tǒng)存在的問題

入侵系統(tǒng)技術(shù)雖然是目前應(yīng)用比較廣泛的網(wǎng)絡(luò)安全防范技術(shù)，但還存在著一些問題，主要體現(xiàn)在以下幾個(gè)方面：

圖1入侵檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖

3.1誤報(bào)和漏報(bào)率比較高

當(dāng)前入侵檢測(cè)系統(tǒng)的主要問題就是誤報(bào)和漏報(bào)，由于入侵檢測(cè)系統(tǒng)的檢測(cè)精度不高，從而增大了誤報(bào)率和漏報(bào)率。基于誤用的入侵檢測(cè)的誤報(bào)和漏報(bào)率雖然相對(duì)較低，但它又不能完成對(duì)未知攻擊的檢測(cè)；基于異常的入侵檢測(cè)雖然能夠解決對(duì)未知攻擊的檢測(cè)這一問題，但它的誤報(bào)和漏報(bào)率比較高，所以都存在著一些不足之處。

3.2準(zhǔn)確定位和處理機(jī)制存在不足

入侵檢測(cè)系統(tǒng)只能識(shí)別IP地址，并不能對(duì)IP地址定位，也就不能識(shí)別入侵?jǐn)?shù)據(jù)信息的來源。一旦檢測(cè)出攻擊事件，入侵檢測(cè)系統(tǒng)就通過關(guān)閉網(wǎng)絡(luò)出口以及服務(wù)器的某些端口，這樣雖然能有效的阻止入侵者的攻擊，但同樣會(huì)影響到其他正常用戶的訪問，從而缺乏有效的處理機(jī)制。

3.3系統(tǒng)性能存在不足

如果服務(wù)器在大流量訪問的沖擊或多IP分片的情況下，很有可能造成入侵檢測(cè)系統(tǒng)的丟包甚至癱瘓。由于入侵檢測(cè)主要依賴于已有的一些經(jīng)驗(yàn)，所以與理想的效果還存在著一些差距。盡管目前的入侵檢測(cè)方法繁多，但如何將它們成熟的運(yùn)用起來還是一個(gè)很大的挑戰(zhàn)，也是需要當(dāng)前網(wǎng)絡(luò)安全工作者們深入研究和探討的重要課題。根據(jù)網(wǎng)絡(luò)安全技術(shù)發(fā)展的需要，主要研究的方向應(yīng)當(dāng)是：入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化、各種入侵檢測(cè)系統(tǒng)的構(gòu)架、入侵檢測(cè)系統(tǒng)的智能化以及與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合的運(yùn)用等。除了完善這些傳統(tǒng)的技術(shù)參數(shù)以外，還需要加強(qiáng)新技術(shù)的開發(fā)和研究，才能使得該產(chǎn)品保持長(zhǎng)久的市場(chǎng)競(jìng)爭(zhēng)力。

4入侵檢測(cè)與防火墻結(jié)合的應(yīng)用研究

4.1入侵檢測(cè)與防火墻的互動(dòng)運(yùn)行

設(shè)計(jì)一個(gè)有效的安全系統(tǒng)，至少需要防護(hù)、檢測(cè)和響應(yīng)三個(gè)部分。這三個(gè)部分需要實(shí)現(xiàn)基于時(shí)間的簡(jiǎn)單關(guān)系。也就是要求檢測(cè)系統(tǒng)在入侵者尚未突破防御階段就能檢測(cè)出入侵者的攻擊企圖，一旦檢測(cè)成功，響應(yīng)部分作出相應(yīng)的處理。這種模式雖然不能確保有效率達(dá)到百分之百，但如果檢測(cè)足夠快，響應(yīng)足夠及時(shí)準(zhǔn)確，防護(hù)系統(tǒng)就能在攻擊者入侵系統(tǒng)之前，及時(shí)發(fā)現(xiàn)并作出相應(yīng)的保護(hù)措施，這樣就能做到對(duì)整個(gè)系統(tǒng)安全的有效防御。我們可以通過防火墻一類的手段來做防護(hù)，入侵檢測(cè)手段來做檢測(cè)，當(dāng)網(wǎng)絡(luò)系統(tǒng)得知入侵檢測(cè)系統(tǒng)檢測(cè)到有攻擊者入侵時(shí)，便會(huì)作出相應(yīng)的反應(yīng)，這時(shí)可以由系統(tǒng)自動(dòng)或網(wǎng)絡(luò)管理員手動(dòng)的方式來針對(duì)入侵信息作出有效的防御。也就是說，入侵檢測(cè)與防火墻的互動(dòng)運(yùn)行，可以實(shí)現(xiàn)一個(gè)比較理想的安全防范體系，有效彌補(bǔ)了傳統(tǒng)安全技術(shù)不足。其互動(dòng)邏輯圖如2所示。

圖2互動(dòng)邏輯示意圖

4.2入侵檢測(cè)與防火墻結(jié)合的設(shè)計(jì)框架

首先，我們來設(shè)計(jì)檢測(cè)器設(shè)置的位置，入侵檢測(cè)既可以放在防火墻之外也可以放在防火墻之內(nèi)。例如圖3給出了將IDS放在防火墻之內(nèi)的設(shè)置。

圖3 IDS置于防火墻之內(nèi)示意圖

在設(shè)計(jì)的過程當(dāng)中，并不只是將入侵檢測(cè)系統(tǒng)和防火墻系統(tǒng)進(jìn)行簡(jiǎn)單的疊加，而是結(jié)合兩者的功能和特點(diǎn)來建立一個(gè)有效的網(wǎng)絡(luò)安全防范系統(tǒng)。可以通過結(jié)合兩者功能的優(yōu)點(diǎn)，互相彌補(bǔ)其不足，由入侵檢測(cè)系統(tǒng)來輔助防火墻系統(tǒng)，具體設(shè)計(jì)如圖4所示。

圖4 IDS與防火墻結(jié)合設(shè)計(jì)示意圖

5總結(jié)

入侵檢測(cè)技術(shù)雖然在網(wǎng)路安全技術(shù)中是一項(xiàng)非常重要的技術(shù)手段，但將其單獨(dú)的運(yùn)用在網(wǎng)絡(luò)安全防范系統(tǒng)當(dāng)中，存在著很多的不足之處。因此，應(yīng)當(dāng)將防火墻技術(shù)與入侵檢測(cè)系統(tǒng)結(jié)合互動(dòng)的使用，這樣的組合比以前單一的技術(shù)都有了較大的提高，網(wǎng)絡(luò)的防御安全能力大大提高，防御系統(tǒng)才能成為一道更加堅(jiān)固的圍墻。

參考文獻(xiàn)：

[1]胡振昌.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京:北京理工大學(xué)出版社,2005.

[2]鄭曉霞. BP網(wǎng)絡(luò)安全技術(shù)的研究[J].電腦知識(shí)與技術(shù),2009,5(35):9947-9951.

入侵檢測(cè)技術(shù)范文6

關(guān)鍵詞：云計(jì)算；病毒入侵；構(gòu)建

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）32-7205-03

病毒防護(hù)是計(jì)算機(jī)技術(shù)中一項(xiàng)重要技術(shù)，計(jì)算機(jī)在運(yùn)行過程中會(huì)遇到各種各樣的病毒，這些病毒會(huì)影響到計(jì)算機(jī)的運(yùn)行嚴(yán)重情況下甚至?xí)?dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓，從而造成不可估量的損害。因此病毒防護(hù)歷來是計(jì)算機(jī)技術(shù)中一項(xiàng)重要技術(shù)。傳統(tǒng)的病毒防護(hù)技術(shù)主要指的是防火墻、殺毒軟件、網(wǎng)絡(luò)入侵檢測(cè)等技術(shù)。這些病毒防護(hù)技術(shù)雖然在一定程度上滿足了計(jì)算機(jī)的基本功能，但是隨著信息技術(shù)的不斷發(fā)展，傳統(tǒng)的防護(hù)技術(shù)已經(jīng)不能夠適應(yīng)快速地、日益增長(zhǎng)的安全問題了。因此病毒防護(hù)技術(shù)亟待創(chuàng)新。

云計(jì)算是當(dāng)今一個(gè)新興概念，云計(jì)算本身具有綜合性、容低性、高容錯(cuò)性等性能，這些性能正好能夠更好地處理計(jì)算機(jī)病毒。加強(qiáng)云計(jì)算技術(shù)在病毒檢測(cè)技術(shù)中的應(yīng)用是未來發(fā)展的必然趨勢(shì)。

1 云計(jì)算在病毒入侵檢測(cè)技術(shù)中的具體應(yīng)用

云計(jì)算技術(shù)本身是一種新型技術(shù)，云計(jì)算在計(jì)算機(jī)中的應(yīng)用主要體現(xiàn)在通過通過云計(jì)算技術(shù)對(duì)龐大的侵入計(jì)算機(jī)行為數(shù)據(jù)進(jìn)行分析，而后再通過其他平臺(tái)通過網(wǎng)頁(yè)形式報(bào)告給計(jì)算機(jī)用戶，從而使用戶能夠及時(shí)了解計(jì)算機(jī)本身的安全狀況。

在新形勢(shì)下入侵計(jì)算機(jī)的行為數(shù)據(jù)量是非常大的，采用傳統(tǒng)的病毒防護(hù)技術(shù)不能實(shí)現(xiàn)快速地分析檢測(cè)，而采用云計(jì)算技術(shù)則可以在短時(shí)間內(nèi)實(shí)現(xiàn)對(duì)大數(shù)據(jù)的處理。與傳統(tǒng)病毒防護(hù)技術(shù)相比，云計(jì)算技術(shù)有著無可比擬的優(yōu)勢(shì)。該文就以snort網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)為例來詳細(xì)說明云計(jì)算技術(shù)在病毒入侵檢測(cè)技術(shù)中的應(yīng)用。

2 Snort網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的構(gòu)建

Snort網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)本身是一項(xiàng)復(fù)雜的網(wǎng)絡(luò)檢驗(yàn)系統(tǒng)，該系統(tǒng)的構(gòu)建是需要多個(gè)步驟才能實(shí)現(xiàn)的。該系統(tǒng)的構(gòu)建主要包括以下幾個(gè)步驟：

一是云的構(gòu)建。云計(jì)算應(yīng)用關(guān)鍵就在于構(gòu)建云，當(dāng)前在構(gòu)建云的過程中主要是通過在多臺(tái)Linux中安裝Hadoop來實(shí)現(xiàn)的。二是設(shè)計(jì)程序。程序的設(shè)計(jì)是系統(tǒng)構(gòu)建的關(guān)鍵步驟，對(duì)于snort網(wǎng)絡(luò)主要是設(shè)計(jì)Map-Reduce程序。通過設(shè)計(jì)完整的程序來實(shí)現(xiàn)對(duì)警報(bào)信息的有效整合。三是構(gòu)建Hbase分布式數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)主要是用來存儲(chǔ)經(jīng)過整合后的數(shù)據(jù)的。四是利用Map-Reduce來對(duì)數(shù)據(jù)進(jìn)行分析處理，最終以web服務(wù)器和PHP網(wǎng)頁(yè)腳本語(yǔ)言呈現(xiàn)給用戶。

3 病毒入侵檢測(cè)系統(tǒng)的具體實(shí)施

上文只是把系統(tǒng)構(gòu)建的步驟進(jìn)行了介紹，下面我們就來探討病毒入侵檢測(cè)系統(tǒng)的具體實(shí)施。對(duì)于該系統(tǒng)的構(gòu)建我們主要是在綜合機(jī)房中實(shí)現(xiàn)的，該系統(tǒng)對(duì)硬件配置的要求較高，因此采用校內(nèi)網(wǎng)速IG、網(wǎng)速達(dá)到100M的快帶網(wǎng)絡(luò)來構(gòu)建起云計(jì)算實(shí)驗(yàn)平臺(tái)。該系統(tǒng)需要6臺(tái)普通PC機(jī)來進(jìn)行構(gòu)建，在這6臺(tái)PC中有一臺(tái)作為主節(jié)點(diǎn)，另外5臺(tái)作為從節(jié)點(diǎn)來使用。在這些電腦中還需要安裝zookeeprer。

該系統(tǒng)的具體實(shí)施是按照以下步驟來實(shí)施的：首先是對(duì)6臺(tái)計(jì)算機(jī)安裝linux并分別命名。對(duì)于主節(jié)點(diǎn)要命名為hadoop，其余五臺(tái)則分別命名為hadoop1、hadoop2、hadoop3、hadoop4、hadoop5.命名之后就要把五臺(tái)計(jì)算機(jī)連接在一起。其次是要生成PCI秘鑰對(duì)，最終保證各臺(tái)計(jì)算機(jī)ash實(shí)現(xiàn)無密碼登陸。第三步是安裝jdk文件，jdk在安裝完成之后還要專門進(jìn)行調(diào)試。只有經(jīng)過專門調(diào)試才能保證正常工作。第四步就是配置相關(guān)文件。對(duì)于hadoop中hadoop-env.sh要修改其jdk路徑，對(duì)于slaves文件的修改要把其變?yōu)閔adoop1-hadoop5.做好這些配置后，還要對(duì)core-site.xml文件進(jìn)行配置，該文件是hadoop的主要文件，我們必須要對(duì)此保持高度重視。最后就是要配置mapred—site.xml文件。在完成以上步驟之后就可以啟動(dòng)云了。最后一步是安裝apache服務(wù)器。針對(duì)這服務(wù)器的安裝需要從以下幾步來做：安裝woke目錄；下載并解壓apache文件；建立makefile；編譯make；安裝Apache。至此該網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)算是構(gòu)建完成。在完成系統(tǒng)構(gòu)建之后，我們就可以通過專門實(shí)驗(yàn)來觀察其效果了。

4 系統(tǒng)效果分析

通過專門實(shí)驗(yàn)之后，我們發(fā)現(xiàn)該系統(tǒng)本身有效地檢測(cè)出了計(jì)算機(jī)的病毒。在云計(jì)算環(huán)境下的病毒入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)了從病毒防護(hù)平臺(tái)就可以查出惡意入侵的源IP、攻擊的起始時(shí)間、結(jié)束時(shí)間等內(nèi)容。通過這一系統(tǒng)基本上實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)系統(tǒng)的病毒檢測(cè)。

通過云計(jì)算技術(shù)病毒網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)了對(duì)警訊來源、目的等的綜合分析。采用云計(jì)算技術(shù)可以使得用戶能夠迅速掌握計(jì)算機(jī)所遭受到的攻擊，對(duì)于快速處理計(jì)算機(jī)病毒具有至關(guān)重要的問題。在病毒入侵檢測(cè)系統(tǒng)中應(yīng)用云計(jì)算技術(shù)改變了傳統(tǒng)的處理警報(bào)的形勢(shì)，提高了云端安全問題解決效率。采用項(xiàng)技術(shù)基本上能夠有效解決病毒入侵檢測(cè)。

上文詳細(xì)分析了云計(jì)算技術(shù)所取得的明顯效果。但是我們?cè)趯?shí)驗(yàn)過程中也出現(xiàn)了一些問題，這些問題的出現(xiàn)最終會(huì)影響到病毒入侵檢測(cè)效果，因此在這樣的背景下我們除了要掌握其效果之外，還要對(duì)實(shí)驗(yàn)過程中出現(xiàn)的問題進(jìn)行詳細(xì)處理。當(dāng)前在實(shí)驗(yàn)過程中出現(xiàn)的問題主要表現(xiàn)在以下幾個(gè)方面：

4.1 產(chǎn)生錯(cuò)誤代碼

在實(shí)驗(yàn)過程中我們發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)本身出現(xiàn)了錯(cuò)誤代碼。經(jīng)過詳細(xì)分析我們發(fā)現(xiàn)之所以會(huì)出現(xiàn)錯(cuò)誤代碼主要原因是因?yàn)閐fs.name.dir路徑設(shè)置有問題，該文件并所有權(quán)發(fā)生混亂，最終使得主節(jié)點(diǎn)檢查不到子節(jié)點(diǎn)。針對(duì)這個(gè)問題我們通過修改子節(jié)點(diǎn)的文件夾權(quán)限，最終有效解決了這個(gè)問題。

4.2 數(shù)據(jù)處理方法有待深化

在數(shù)據(jù)處理過程中算法Merge Extended Alert job處理過后的數(shù)據(jù)與之前數(shù)據(jù)相比并沒有明顯區(qū)別。可見當(dāng)前的數(shù)據(jù)處理技術(shù)還有待深化。

4.3 程序問題

所謂程序問題主要指的是兩方面的問題：一是出現(xiàn)了數(shù)據(jù)重復(fù)處理的現(xiàn)象。之所以會(huì)出現(xiàn)遮掩高度問題主要是因?yàn)闆]有將原來的hdfs移除造成的。在意識(shí)到這個(gè)問題之后工作人員及時(shí)移除數(shù)據(jù)，數(shù)據(jù)重復(fù)處理的現(xiàn)象得以避免。二是runjob程序仍然存在。在實(shí)驗(yàn)過程中使用Kill命令本身不足以停止Hadoop。這對(duì)數(shù)據(jù)處理造成了很大影響。在這方面必須要引起我們的高度重視。在今后的病毒防護(hù)過程中必須要不斷改善這種現(xiàn)象。

5 云計(jì)算技術(shù)安全性分析

云計(jì)算技術(shù)在計(jì)算機(jī)病毒入侵檢測(cè)系統(tǒng)中雖然得到有效應(yīng)用，但是正如上文所說云計(jì)算技術(shù)在實(shí)驗(yàn)過程中還存在一些問題，因此加強(qiáng)對(duì)云計(jì)算技術(shù)安全性的詳細(xì)分析具有重要意義。該文就以PCShare為例來詳細(xì)對(duì)云計(jì)算技術(shù)的安全性進(jìn)行分析。通過觀察我們發(fā)現(xiàn)云計(jì)算技術(shù)在應(yīng)用過程中存在著以下安全性問題：

5.1 文件路徑欺騙

在計(jì)算機(jī)運(yùn)行過程中云計(jì)算技術(shù)本身存在著文件路徑被欺騙的隱患。木馬程序通過構(gòu)建沒有實(shí)際內(nèi)容的文件可以改變實(shí)際存在的文件目錄。這樣的木馬程序會(huì)對(duì)計(jì)算機(jī)的自動(dòng)運(yùn)行造成巨大影響。該木馬程序首先是通過創(chuàng)建虛擬目錄，而后讓木馬程序在虛擬目錄中運(yùn)行，最后再刪除虛擬目錄。通過這種方法最終嚴(yán)重影響到了計(jì)算機(jī)性能。

這個(gè)問題的具體步驟，首先是利用subst命令對(duì)惡意程序賦驅(qū)動(dòng)符。在實(shí)際運(yùn)行過程中用磁盤驅(qū)動(dòng)器符來代替惡意程序創(chuàng)建的目錄；之后就是要在虛擬驅(qū)動(dòng)器中運(yùn)行惡意程序，最后就是刪除虛擬驅(qū)動(dòng)器。

5.2 云查殺欺騙。云查殺過程中存在的欺騙主要指的是通信欺騙。通信欺騙也是云計(jì)算技術(shù)運(yùn)行過程中遇到的主要問題

上述兩個(gè)問題是云計(jì)算過程中常見的問題，針對(duì)這兩個(gè)問題的處理，我們需要采取專門措施來予以預(yù)防。對(duì)于文件路徑欺騙的行為，工作人員要運(yùn)用殺毒軟件來獲得木馬程序本身的虛擬目錄，然后進(jìn)一步獲取物理路徑。如果殺毒軟件本身不能夠找到物理路徑的時(shí)候，就需要采用其他方法對(duì)木馬程序進(jìn)行定位。對(duì)于云查殺過程中通信欺騙行為。在實(shí)際應(yīng)用過程中可以通過殺毒軟件對(duì)數(shù)據(jù)進(jìn)行加密，對(duì)數(shù)據(jù)包進(jìn)行檢驗(yàn)等方法來有效防止惡意程序的破壞。

云計(jì)算技術(shù)是當(dāng)前IT技術(shù)中一項(xiàng)新興技術(shù)，該技術(shù)在病毒入侵檢測(cè)系統(tǒng)中的應(yīng)用能夠有效提升病毒入侵檢測(cè)能力，對(duì)于保證計(jì)算機(jī)安全具有重要意義。在病毒防治形勢(shì)日益復(fù)雜的背景下加強(qiáng)對(duì)云計(jì)算技術(shù)的研究具有重要意義。該文詳細(xì)分析了云計(jì)算技術(shù)的優(yōu)勢(shì)，而后以sonrt網(wǎng)絡(luò)病毒入侵檢測(cè)系統(tǒng)構(gòu)建為例詳細(xì)說明了云計(jì)算技術(shù)在病毒入侵檢測(cè)系統(tǒng)中的應(yīng)用，最后對(duì)云計(jì)算技術(shù)的安全性進(jìn)行了分析。在今后的實(shí)際工作過程中必須要不斷加強(qiáng)對(duì)云計(jì)算技術(shù)的研究。

參考文獻(xiàn)：

[1] 蔣曉峰.面向開源程序的特征碼免殺與主動(dòng)防御突破研究[D].上海：上海交通大學(xué)，2011.