计算机网络安全：入侵检测方法与步骤

入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报等；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测的一般步骤包括信息收集和信息检测分析。

1.信息收集

网络入侵检测的第一步是信息收集，内容包括系统、计算机网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个信息源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。入侵检测很大程度_卜依赖于收集信息的可靠性和正确性。入侵检测利用的信息一般来自以下4个方面：

（1）系统和计算机网络日志文件。

入侵者经常在系统日志文件中留下他们的踪迹，因此充分利用系统和计算机网络日志文件信息是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。

（2）目录和文件中不期望的改变。

计算机网络环境中的文件系统包含很多软件和数据文件，其中含有重要信息的文件和私有数据文件经常是攻击者修改或破坏的目标。目录和文件中不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。攻击者经常替换、修改和破坏他们获得访问权的系统中的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

（3）程序执行中的不期望行为。

计算机网络系统中的程序一般包括操作系统、计算机网络服务、用户启动的程序和特定目的的应用。每个在系统上执行的程序由一到多个进程实现，而每个进程又在具有不同权限的环境中执行，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。

一个进程出现了不期望的行为，表明可能有人正在入侵该系统。入侵者可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。(www.xing528.com)

（4）物理形式的入侵信息。

这包括两个方面的内容，一是未授权地对计算机网络硬件的连接；二是对物理资源的未授权访问。入侵者会想方设法去突破计算机网络的周边防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件，进而探知网上由用户加上去的不安全（未授权）设备，然后利用这些设备访问计算机网络。

2.信息检测分析

信息收集器将收集到的有关系统、计算机网络、数据及用户活动的状态和行为等信息传送到分析器，由分析器对其进行分析。分析器一般采用3种技术对其进行分析：模式匹配、统计分析和完整性分析。前两种方法用于实时的计算机网络入侵检测，而完整性分析用于事后的计算机网络入侵检测。

（1）模式匹配。

模式匹配就是将收集到的信息与已知的计算机网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（例如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（例如利用正规的数学表达式来表示安全状态的变化）。该方法的一大优点是只需收集相关的数据集合，显著减轻了系统负担，且技术已相当成熟；与病毒防火墙采用的方法一样，检测的准确率和效率都相当高。但是，该方法的弱点就是需要不断地升级以对付不断出现的攻击手段，不能检测到从未出现过的攻击手段。

（2）统计分析。

统计分析方法首先给系统对象（例如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（例如访问次数、操作失败次数和时延等）。测量属性的平均值将被用来与计算机网络、系统的行为进行比较，任何观察值在正常范围之外时，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵；缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法有基于专家系统的分析方法、基于模型推理的分析方法和基于神经计算机网络的分析方法。

（3）完整性分析。

完整性分析主要关注某个文件或对象是否被更改。完整性分析利用强有力的加密机制（称为消息摘要函数），能够识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法依然是维护计算机网络安全的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对计算机网络系统进行全面的扫描检查。