计算机网络安全设计与应用讨论 1 计算机网络安全入侵检测系统的设计框架 计算机网络环境较为复杂,其中涉及的相关问题也较为复杂,各种攻击方式及病毒出现,为了能够满足环境的复杂性,设计满足复杂环境需求的安全防备系统,其要根据一个原则进行设计[1]:(1)系统具备可用性及可靠性;(2),系统工作模式为内嵌式;(3)系统入侵检测能力具有较高的准确率;(4)系统具有低延迟性;(5)系统性能较高;(6)系统具有先进的报警能力及取证分析能力;(7)系统控制方式为细粒度[2]。根据以上原则,以系统工作阶段的不同为基础,将系统分为以下几个模块,从而构成计算机网络安全入侵检测系统框架,如图1 所示。 2 计算机网络安全入侵检测系统的模块设计 2.1 系统异常模块。计算机网络安全入侵检测系统的异常模块主要功能就是对网络数据流量信息进行分析及输入,主要的检测方法包括基于小波检测、基于马尔科夫模型检测、统计检测等[3]。本节以统计检测进行分析,因为网络流量数据的特点为突发性,统计检测方法也具有不稳定特点。通过对实际网络流量进行观察,了解网络流量与作息时间关系,所以可以在对实际网络流量进行处理的时候使用方差分析,在计算具体数据之后,找到异常的网络流量,并且在具体模块中生成警报,通过警报设定异常偏差置信度,从而实现入侵检测系统异常模块的功能[4]。2.2 系统分析模块。系统分析模块主要包括分析模块及协议解码,协议解码主要是实现 tcp/ip 协议解码,之后转变为满足入侵检测编译的数据接口,便于 iDs 对入侵攻击行为进行检测[5]。分析模块通过使用高效的协议分析、高速数据包猎取及网络协议有序性的功能,能够对每个存在攻击特点的行为进行检测[6],图 3 为系统分析模块的流程图。2.3 系统响应模块。系统响应模块根据相应的类型主要分为被动及主动两种方式,相响应指的是在入侵系统检测到入侵行为时候产生的直接反应动作。主动响应为自动反击,其能够根据系统或者用户的设置对攻击过程进行阻断及影响;被动响应是根据紧急程度将入侵信息提供给用户,通过系统管理员的情况进行处理,两者各有优缺点[7]。入侵检测系统的分析模块设计根据两种方式的优点实现,系统分析模块中的协议解码针对模式库中的攻击类型及方式,预先设计动作进行主动响应处理,假如模式库能够通过异常算法对攻击进行检测,就要将连接数据进行保存并且报告,通过被动响应进行处理[8]。2.4 控制中心模块。控制中心模块是系统的核心...
