非法获取计算机信息系统数据罪-计算机网络安全技术分析

    一、入侵检测系统的内涵分析

    入侵检测和防火墙时网络安全中强有力的两个技术手段，同时他们之间具有很强的功能互补作用。防火墙时在内部网络和外部网络之间的不同信任程度的网络硬件设备或软件设备的组合，防火墙位于内外网络之间，控制交通，实行统一强制的安全策略，从而对未经授权对重要信息进行访问的请求表示禁止，从而对系统进行安全保护。不过，作为一个周边安全机制，我们也要知道，内部网中的行为防火墙是无法进行控制的，它只是在应用层和网络层控制访问，没有办法对通信数据的内容进行监控。防火墙并不是对所有的安全威胁都能够有效的控制，有的攻击利用协议隧道很容易的就绕过了防火墙，并且，防火墙只是可以作为策略性的防御方式，是对粗颗粒进行防御的一种手段，不能自动的调整策略而设置阻止攻击，对以协议为基础的攻击不能切实的进行防范。所以，在单独的情况下，防火墙时不具备实现安全防护的性能的。
    入侵检测系统是主动的防御方式，实时分析校园网内外部网络中的通讯数据信息，对有入侵企图和入侵行为的攻击进行分辨，在校园网受到攻击前，及时发出警报，同时利用合适的方法对网络入侵予以禁止，对校园网系统的安全性最大程度上的予以保证。利用分布式和多层次的网络监控，全面对校园网实行关键性的控制，对调度能力有所把握。
    尽管系统中有时候并不存在特定的某一个楼同，但是仍然会被入侵检测系统检测到攻击，并且对系统状态进行调整，告知未来可能会遭到入侵。假如计算机系统只是具备访问控制能力，不存在入侵检测手段，将会像直到位置被占领为止，才能察觉到攻击者的存在，或者是指导攻击者在对自己进行攻击。我们显然不能对计算机遭到攻击这一事实完全的防止，不过假如计算机系统遭到攻击，我们对攻击马上进行实时的检测，同时利用合适的行为，或者说在未来，对攻击可以做到有效的防范。入侵检测系统是对抗损害的一种方法。入侵检测技术能够给信息系统的安全性提供保证。不过，入侵系统本身只能是发现攻击的行为，在预防和处理攻击方面并不能起到作用。因此，我们应该把防火墙和入侵检测系统相互结合进行攻击的防御。入侵检测系统可以对防火墙策略之外的入侵行为及时的发现，防火墙可以按照入侵检测系统提供的信息对全部的安全策略进行调整，在原点就对入侵行为进行阻止。从而对整个防御系统的性能有所提高。防火墙和入侵检测系统的互动原理。

    二、入侵检测系统分类

    （1）基于主机的入侵检测系统
    基于主机的IDS部署在一台主机上，作为一个主要的信息来源，由操作系统生成的日志记录，审计，检测入侵。基于主机的IDS没有网络数据包或扫描配置检查，但要组织大量的数据提供系统日志进行整理。早期的基于主机的系统，主要用于检测内部网络的侵入。后来用主机代理的分布来实现。其主要优点能保持信息源的完整性。计算机网络的日志是系统产生的，并且按照时间进行排序。它准确记录了每个用户的行为序列，这样我们就可以精确监视每个用户的行为。也使得加工的信息源是一个简单的，一致的IDS。对某些攻击非常有效。例如，审计日志可以显示造成缓冲区溢出攻击的优先传输，可有效检测缓冲区溢出攻击。 

    （ 2）基于网络的入侵检测系统
    最早出现的基于网络的IDS在1990年。它主要是用来抵御外来入侵。按照一定的规则，通过监测到的网络通信的数据流分析并对其进行分析，从而发现已运行的黑客程序的企图、协议攻击和可能破坏安全策略的特征，做出入侵攻击判断。基于网络IDS位于内部网络到互联网接入点是最佳位置。然而，在同一子网的数据包和数据包交换后的IDS两个节点之间的交换，IDS会忽略这些攻击。

    （3）基于网络的IDS的优点：
    1、由于网络协议是标准的，而NIDS是直接收集网络数据包。因此，网络入侵检测系统，例如独立的目标系统的体系结构可以用来监控不同类型的系统的结构；
    2、NIDS使用原始的网络数据包检测，所以不太可能收集审计数据已被篡改，它不影响保护系统的性能；
    3、NIDS使用的实时监控和分析所有通过共享网络传输的网卡处于混杂模式，实时的目标系统与外界交互所有信息，包括一些隐藏的端口扫描和企图入侵没有成功的。

    （4）基于网络IDS的缺点：
    1、缺乏终端系统对待定的数据处理方法，使得它很难重建原始数据包的应用层的信息。因此，NIDS难以检测到攻击发生在应用层加密传输入侵，NIDS也不是能做任何事情；
    2、NIDS只检查它直接连接网段的通信，不能检测在交换局域网的网络数据包上的不同环节，在不同的交换机端口，它是很难取得网络信息时；
    3、由于网络流的数据量大，NIDS必须对数据帧进行解码才能明白它的意思。因此，大量的网络入侵检测系统的数据处理，会造成处理能力的不足。

    三、入侵检测技术

    根据校园网的特点，应该把这两种IDS有机的结合起来。在重要服务器上安装基于主机的IDS代理，而在校园网各个枢纽节点上安装基于网络的IDS代理，然后在IDS主机上实时监控各代理的状态和监测结果，并根据反馈信息采取相应措施。
    总之，入侵检测技术己经发展了十多年了，但是由于网络入侵手段的复杂性和多变性，想要确定网络入侵行为与网络数据特征之间的函数关系是不可能的，因此只能对其进行估计和逼近。相信随着入侵检测技术研究的深入，其在计算机网络安全方面的价值也会越来越高。