根據(jù)網(wǎng)絡(luò)入侵病毒特點提出優(yōu)化保護舉措

　　計算機網(wǎng)絡(luò)已經(jīng)被廣泛應(yīng)用到了我們的工作和生活，但是如何應(yīng)用好這把雙刃劍是計算機學(xué)者一直探索的課題。計算機網(wǎng)絡(luò)給我們的生活帶來了便利，同時也給我們帶來了安全隱患。在快速發(fā)展的網(wǎng)絡(luò)環(huán)境下，逐漸興起了類似木馬、勒索等一些危害病毒，竊取了我們的隱私，造成了財產(chǎn)丟失。為此，本文重點研究這類入侵病毒的特點，并針對其特點加強計算機防范措施，盡最大的努力保障網(wǎng)絡(luò)計算的安全性。

　　關(guān)鍵詞：高速網(wǎng)絡(luò)環(huán)境,入侵檢測技術(shù),優(yōu)化方法

　　比特幣勒索病毒是當今社會的一大焦點，該病毒主要是一種“蠕蟲式”的勒索病毒軟件，大小是3.3MB，由不法分子利用NSA(NationalSecurityAgency，美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍)進行傳播。該惡意軟件會掃描電腦上的TCP445端口(ServerMessageBlock/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。勒索金額為300至600美元。如果中毒用戶在一周之內(nèi)沒有支付解鎖費用，會直接將鎖定文件銷毀，無法恢復(fù)。該勒索病毒的到來，表明即使是美國，其網(wǎng)絡(luò)系統(tǒng)也存在著漏洞，對用戶造成巨大影響。由此可見，加強入侵檢測技術(shù)研究的重要性。

　　1網(wǎng)絡(luò)入侵檢測技術(shù)分析

　　網(wǎng)絡(luò)入侵檢測技術(shù)是一種主動保護計算機的網(wǎng)絡(luò)安全技術(shù)，能夠檢測來歷不明的文件。該技術(shù)主要通過在線分析網(wǎng)絡(luò)數(shù)據(jù)報文，當出現(xiàn)異常數(shù)據(jù)或入侵行為時，會及時通知管理人員，并由管理人員采用相關(guān)措施，例如斷開網(wǎng)絡(luò)連接等(比特幣勒索病毒在開機時斷開網(wǎng)絡(luò)就能夠有效規(guī)避)。網(wǎng)絡(luò)入侵檢測技術(shù)能夠?qū)?nèi)部和外部攻擊做出反應(yīng)，是保障計算機網(wǎng)絡(luò)安全的重要渠道。

　　1.1統(tǒng)計網(wǎng)絡(luò)入侵檢測技術(shù)

　　統(tǒng)計網(wǎng)絡(luò)入侵檢測技術(shù)主要針對異常數(shù)據(jù)檢測的安全技術(shù)。該軟件能夠分析計算機系統(tǒng)的正常運作架構(gòu)，如果計算機中的某些數(shù)據(jù)與正常架構(gòu)存在差異，即判斷為網(wǎng)絡(luò)數(shù)據(jù)異常。雖然該技術(shù)的出現(xiàn)較早，但相對其他技術(shù)更加成熟，應(yīng)用范圍也更為廣泛。但缺點也非常明顯，就是統(tǒng)計方法不適用于單獨使用，其中的閾值確定比較困難，很多黑客高手很容易利用隱藏病毒侵入電腦。

　　1.2數(shù)據(jù)挖掘技術(shù)

　　數(shù)據(jù)挖掘技術(shù)在當今殺毒軟件中的應(yīng)用非常廣泛，只要卸載電腦中的殺毒軟件或安全衛(wèi)士，如果讓用戶重啟電腦，即表示該軟件中融入了數(shù)據(jù)挖掘技術(shù)。該技術(shù)是一項通用的知識發(fā)現(xiàn)技術(shù)，從海量計算機數(shù)據(jù)中挖掘隱藏的規(guī)律性知識。該技術(shù)的優(yōu)點在于能夠處理大量數(shù)據(jù)，并且具有很強的數(shù)據(jù)分析能力。因此，數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測和預(yù)防方面有著極大優(yōu)勢。但其缺點也非常明顯，例如挖掘技術(shù)的實現(xiàn)方法較難，需要開發(fā)有效的數(shù)據(jù)挖掘算法與體系，簡單來說在計算機數(shù)據(jù)中提出框架比較困難。

　　1.3神經(jīng)網(wǎng)絡(luò)技術(shù)

　　神經(jīng)網(wǎng)絡(luò)技術(shù)能夠?qū)W習(xí)計算機行為，也就是根據(jù)用戶使用習(xí)慣進行動態(tài)變化做出相應(yīng)調(diào)整，同時也允許背景數(shù)據(jù)和模糊數(shù)據(jù)的存在，能夠有效避免誤殺等問題。神經(jīng)網(wǎng)絡(luò)技術(shù)具有非常強的學(xué)習(xí)能力，但神經(jīng)網(wǎng)絡(luò)技術(shù)模型實現(xiàn)非常困難，學(xué)習(xí)與決策系統(tǒng)的權(quán)衡性非常難以控制。因此，在采用神經(jīng)網(wǎng)絡(luò)入侵檢測過程中，如果開發(fā)商技術(shù)不夠成熟，會出現(xiàn)誤殺問題，影響系統(tǒng)的穩(wěn)定性，反而影響了用戶操作。在國際中卡巴斯基殺毒軟件(收費版)對神經(jīng)網(wǎng)絡(luò)技術(shù)的研究處于領(lǐng)先地位，但依然存在誤殺問題，因此，該技術(shù)還有待完善。

　　1.4專家系統(tǒng)技術(shù)

　　專家系統(tǒng)技術(shù)是近些年研究出來的網(wǎng)絡(luò)入侵檢測新技術(shù)，該技術(shù)不僅能夠?qū)崿F(xiàn)知識推理，同時也具備自動學(xué)習(xí)的功能，隨著計算機在運行中規(guī)則不斷增多，其學(xué)習(xí)能力與推理能力也在不斷提高，并通過構(gòu)建專家知識庫，從而不斷提高侵入檢測性能。專家知識庫主要是模仿木馬病毒攻擊場景，并根據(jù)模擬攻擊形態(tài)不斷完善計算機網(wǎng)絡(luò)系統(tǒng)。專家系統(tǒng)技術(shù)非常依賴于知識庫的完整性，模擬入侵特征與表達方法是該技術(shù)的核心。該技術(shù)在當今殺毒軟件和防火墻中的應(yīng)用非常廣泛，如360、金山等軟件都融入了專家系統(tǒng)技術(shù)。專家系統(tǒng)技術(shù)具有一定的智能性，通過規(guī)則關(guān)聯(lián)的方式分析和規(guī)則集(專家?guī)?能夠有效提高入侵檢測效率，對于邏輯性較強的病毒來說具有明顯效果。缺點是推理和學(xué)習(xí)效率不高會嚴重影響整個技術(shù)的作用發(fā)揮，因此，加強學(xué)習(xí)能力和推理能力是關(guān)鍵。

　　1.5模型推理技術(shù)

　　模型推理技術(shù)與專家系統(tǒng)技術(shù)有著異曲同工之處，但其病毒模擬功能要強于專家系統(tǒng)。模型推理技術(shù)通過構(gòu)建一個入侵行為檢測模型，并根據(jù)相關(guān)關(guān)聯(lián)分析多種病毒結(jié)構(gòu)，從而檢測出關(guān)聯(lián)入侵行為。該技術(shù)在入侵防護面上更加全面，并且?guī)в幸欢ǖ念A(yù)見性。其缺點是需要對每個攻擊和每種系統(tǒng)都要構(gòu)建相關(guān)的入侵模型，并且要事先認定病毒攻擊模式從而定義參數(shù)，這就導(dǎo)致攻擊實現(xiàn)方法與原理存在一定的差異，導(dǎo)致模型出現(xiàn)漏洞，如果新型病毒出現(xiàn)，將無法實現(xiàn)全面防護。

　　2加強網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)化措施

　　2.1優(yōu)化報文捕獲系統(tǒng)

　　在高速網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)報文捕獲系統(tǒng)通常會產(chǎn)生多余的數(shù)據(jù)拷貝或中斷問題，這會在一定程度上占用CPU資源，導(dǎo)致電腦變慢、變卡，對系統(tǒng)的入侵檢測性能有著明顯影響。想要降低CPU占用率，就必須要優(yōu)化報文捕獲系統(tǒng)，強化系統(tǒng)性能，這就需要引入零拷貝技術(shù)與TOE思想。其中，零拷貝技術(shù)在DMA傳送技術(shù)與內(nèi)存區(qū)域上的應(yīng)用非常廣泛，通過取消對用戶空間與內(nèi)存空間的數(shù)據(jù)拷貝，在拷貝過程中不會占用CPU空間資源，這樣用戶就能夠擁有更多CPU資源做其他的事情。報文捕獲系統(tǒng)通過引入TOE思想，能夠有效提高捕獲性能與靈活程度，捕獲系統(tǒng)會根據(jù)不同軟件進行參數(shù)調(diào)整與修改。同時，內(nèi)部使用的MAC芯片能夠提高網(wǎng)絡(luò)計算效率，例如校檢計算、MAC地址過濾等，從而提高入侵檢測技術(shù)的性能。

　　2.2優(yōu)化入侵分析方法

　　由于我國寬帶技術(shù)不斷發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量不斷的擴展，同時病毒如今特性更加多元化，這進一步提高了入侵檢測技術(shù)的防護難度，嚴重影響入侵檢測性能與效率。因此，為了能夠滿足高速網(wǎng)絡(luò)環(huán)境要求，必須要加強入侵檢測分析效率，從多個方面進行改進與創(chuàng)新。在高速網(wǎng)絡(luò)環(huán)境下，由于數(shù)據(jù)包傳輸速率已經(jīng)遠遠高于系統(tǒng)處理能力，這時就會產(chǎn)生丟包問題。通過負載均衡技術(shù)能夠?qū)鹘y(tǒng)的集中數(shù)據(jù)傳輸方法轉(zhuǎn)變?yōu)椴⑿刑幚恚簿褪请娐分写?lián)與并聯(lián)的關(guān)系，這樣能夠有效提高入侵分析能力，減少出現(xiàn)丟包問題的幾率。

　　負載均衡機制主要是指在高速網(wǎng)絡(luò)環(huán)境下，入侵檢測系統(tǒng)能夠通過數(shù)據(jù)分流的方式，將所捕獲的Gbps級數(shù)據(jù)進行分流，在通過低速入侵檢測系統(tǒng)在后端進行并行處理，從而提高入侵監(jiān)測的及時性與效率性。由于該種結(jié)構(gòu)對負載均衡器有著很高要求，不僅需要前端接受高速數(shù)據(jù)信息，并且還要將捕獲數(shù)據(jù)進行分析與轉(zhuǎn)發(fā)，這些工作工程都是硬件設(shè)施來完成。此外，制定有效的負載均衡方案非常重要，在分析方案是否完善時，主要通過多個處理系統(tǒng)負載均衡和數(shù)據(jù)轉(zhuǎn)發(fā)完整性兩大指標進行衡量。

　　2.3提高匹配效率

　　在入侵檢測技術(shù)中，模式匹配問題已經(jīng)成為檢測系統(tǒng)發(fā)展的重要阻礙。據(jù)有關(guān)數(shù)據(jù)調(diào)查顯示，模式匹配系統(tǒng)檢測系統(tǒng)中的運行時間最長，大約在整個檢測系統(tǒng)中1/3。因此，我們必須要提高匹配效率、優(yōu)化匹配方法。由于當前都是采用特征模式匹配，將模式匹配算法記性優(yōu)化能夠有效提高入侵檢測效率。

　　當下比較流行的匹配算法有BM算法、多模式匹配的AC-BM和Wu-Manber算法等。其中BM算法雖然是單模式算法中最強的一種，但局限與提高單條規(guī)則匹配效率問題，無法提高整個規(guī)則與匹配效率缺陷。AC-BM和Wu-Manber算法雖然效率比較高，但也存在很多有待完善之處，如AC-BM對系統(tǒng)內(nèi)存要求嚴格等。因此，技術(shù)人員也提出了一種Piranha算法等匹配算法，該算法能夠降低系統(tǒng)丟包率、漏報率、錯報率等，并保障入侵檢測系統(tǒng)內(nèi)部平衡。該算法是一種動態(tài)調(diào)整方法，能有效對整個網(wǎng)絡(luò)實施控制，從而發(fā)揮入侵檢測技術(shù)的最優(yōu)性能。

　　3結(jié)束語

　　隨著我國網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展，在高速網(wǎng)絡(luò)環(huán)境下，我們必須要強化入侵檢測技術(shù)，降低類同“比特幣勒索病毒”對用戶的影響，這樣才能夠保障我國信息網(wǎng)絡(luò)領(lǐng)域健康發(fā)展，推動我國經(jīng)濟平穩(wěn)發(fā)展。

　　參考文獻：

　　[1]史志才，夏永祥.高速網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)研究綜述[J].計算機應(yīng)用研究，2010.

　　[2]紀威.基于高速網(wǎng)絡(luò)環(huán)境的入侵檢測系統(tǒng)分析研究[J].計算機與網(wǎng)絡(luò)，2012.

　　[3]劉玉梅，馬偉華，葉飛.高速網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)[J].計算機與數(shù)字工程，2008.

　　[4]吳宏兵.基于高速網(wǎng)絡(luò)環(huán)境下入侵檢測系統(tǒng)的性能優(yōu)化分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

　　相關(guān)閱讀：計算機安全發(fā)表論文版面費多少