网络入侵与应对技术初探

张 翼（黑龙江东方学院,150086）



网络入侵与应对技术初探

张 翼
（黑龙江东方学院,150086）

摘要：网络入侵是人们谈至变色的话题，民众对网络的应用达到了空前的高度。购物、工作文件传输、生活、娱乐等等方面都离不开网络。一旦遭到网络攻击，就会蒙受损失。从个人隐私、到财产安全；从文件损坏，到设备瘫痪。因此，了解并认识网络入侵的常用手段，合理预防，从技术角度打造安全的网络环境成为了一个重要的问题。本文从网络安全的基本定义谈起，介绍了常见的入侵手段，针对网络入侵合理进行防护的技术手段。

关键词：备份；防火墙；入侵检测；加密；操作系统

1 网络入侵的危害

网络入侵的定义可以从宏观角度也可以从微观角度去理解。可以简单的认知为未经允许，私自以非常规的途径进入他人网络，获取相关权限。但是从具体的角度来说，网络入侵一般都是处于一些非法的、特殊的目的性。比如获取他人隐私、破坏相关文件或者硬件设备、盗取网上银行等电子帐户，非法牟取利益等。对于个人来说，隐私权收到侵害，财产蒙受损失。但相对企业和政府部门来说，网络入侵造成的危害更大。网络入侵可以使企业花巨金宣传，营造出的健康形象瞬间颠覆，可以让政府网站瘫痪无法工作。造成巨大财产损失，甚至危害国家安全。

2 防治网络入侵，要打造安全的网络环境

安全的网络环境，是指在网络环境中的硬件设备与软件都能够正常有序的工作，不受到任何因素的影响。这种定义当然是指理想状态下，在实际的工作生活中，收到自然、人为等因素的影响，是无法完全实现的。但是通过一些技术手段，在一定时间内实现相对的安全，让人们放心的使用网络，是可以做到的。

3 网络入侵常用技术

3.1 入侵技术原理

网络入侵的黑客应用软件众多，有自身不同的特性。但主要是根据以下技术原理角度进行入侵的。首先是病毒，利用病毒的自我复制特性在网络中进行传播，当进入到网络当中后，开始隐藏避免别发现，逐步复制，在达到一定数量时，在触发条件被满足后，进行破坏。例如圣诞节病毒，CIH等等。这些病毒的触发条件是以时间进行设置，还有以计算机的中断产生等多种方式进行触发的。其次，是木马，也有称之为特洛伊木马，在古代战争中曾有战役，军队藏身于巨大木马当中，蒙混入城，在夜晚冲出，打开城门。从而获得战役的胜利。计算机木马也是以技术手段进行身份隐蔽，获取网络权限，从而实现进入网络的目的。作为入侵手段之一，往往也借此进行一些破坏。最后，恶意代码，就是进行复制或者破坏的代码总称。现代的病毒往往已经不是以往病毒的传统概念。现代病毒中融合了木马、病毒和一些恶意代码。通过密码破译、漏洞寻找、身份隐藏等多种方式，非法获得网络权限，从而达到网络入侵的目的。

3.2 入侵检测系统的分类

入侵检测系统根据其检测数据来源分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上，实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况，其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术，使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分布于不同网段上的基于网

络的入侵检测系统可以协同工作以提供更强的入侵检测能力。

3.3 入侵检测方法入侵检测方法主要分为异常入侵检测和误用入侵检测

异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集，理想状况是异常活动集与入侵性活动集等同，这样，若能检测所有的异常活动，则可检测所有的入侵活动。但是，入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性：入侵性而非异常；非入侵性且异常；非入侵性且非异常；入侵且异常。异常入侵要解决的问题是构造异常活动集，并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法，异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化，然后作出决策判断的检测技术。

4 预防与抵御网络入侵常见方法

4.1 操作系统

操作系统的选择要视安全性能要求而定，如果作为网络中的服务器，安全性能要求较高，则需要挑选自身安全系数较高的操作系统。例如LINUX系统中的RED HAT，或者微软的WINDOWS 2000系列。避免使用XP系统，这从访问机制方面，就可以了解操作系统安全性的差别。在操作系统管理与设置方面也要做好准备，例如日志记录，关闭一些操作系统默认但并无实际意义的组等等。

4.2 防火墙

防火墙也是一个重要的网络防护措施，它在网络中起到的是一个类似于门卫的作用。在信息传送过来的时候，进行技术层面的检查。当符合检查项，认为是安全的信息的时候，才将信息包裹取入内网，当然一些安全级别高的防火墙，会仍然拒绝信息包裹直接进入内网，而是提取出信息的具体内容，将包裹阻挡在内网大门外。起到网络权限安全保护的作用。

参考文献

[1] 刘积芬.非负矩阵分解降维的入侵检测方法[J]. 计算机工程与应用. 2012(30)

[2] 张雪芹,顾春华,吴吉义.异常检测中支持向量机最优模型选择方法[J]. 电子科技大学学报. 2011(04)

[3] 梅海彬,龚俭,张明华.基于警报序列聚类的多步攻击模式发现研究[J]. 通信学报. 2011(05)

[4] 熊伟,胡汉平,王祖喜,杨越.基于突变级数的网络流量异常检测[J]. 华中科技大学学报(自然科学版). 2011(01)

[5] 张雪芹,顾春华,吴吉义.基于约简支持向量机的快速入侵检测算法[J]. 华南理工大学学报(自然科学版). 2011(02)

[6] 张新有,曾华燊,贾磊.入侵检测数据集KDD CUP99研究[J].计算机工程与设计. 2010(22)

[7] 徐琴珍,杨绿溪.一种基于有监督局部决策分层支持向量机的异常检测方法[J]. 电子与信息学报. 2010(10)

[8] 包振,何迪.一种基于图论的入侵检测方法[J]. 上海交通大学学报. 2010(09)

Study on network intrusion and response technology

Zhang Yi
(East University of Heilongjiang,150086)

Abstract：Network intrusion is to change the topic people talk about people,the application of the network reached an unprecedented height.Shopping,work file transfer,life,entertainment and so on can not be separated from the network.Once attacked by the network,it will suffer loss.From personal privacy,to property security;from file corruption,to device paralysis.Therefore,understanding and understanding of common means of network intrusion prevention, reasonable security,build from the point of view of technology network environment has become an important problem.This paper starts from the basic definition of network security,introduces the common intrusion methods,according to the technical means of network intrusion protection reasonably.

Keywords：backup;firewall;intrusion detection;encryption;operating system