大数据时代信息安全及保护
                Information Security and Protection in the Era of Big Data



            进行保护工作的具体过程可以分为4个步骤：监视、分析网络用户和网络系统活
            动；审查评估网络安全系统的结构和弱点；确定已知攻击活动并发出警告；对网
            络系统进行异常行为统计和分析。入侵检测技术的工作原理是在计算机运行过程

            中收集系统和网络中的关键点信息，并对系统或网络中是否受到入侵攻击进行分
            析，并做出相应反应。入侵性检测是一种动态安全保护技术，主要技术手段是检
            测异常和匹配模式。

                二、计算机网络入侵检测技术中的问题及发展趋势


                （一）计算机网络入侵检测技术中心的问题
                1.应用方式
                目前入侵检测技术的应用需要将特征检测作为主要途径，其检测方式相对

            单一，具体可应用范围较小，对复杂入侵行为进行检测较为困难。只能简单地检
            测网络入侵行为，进行防御与管理工作，如果网络环境较为复杂，受到技术局限
            性的影响，需要花费大量的人力以及较长的时间进行分析，导致检测的时效性较
            差，检测质量不佳，无法满足用户的需求。

                2.检测技术
                因为中国入侵检测技术的起步时间较晚，同一些发达国家相比仍存在一定的
            差距，具体应用具有一定的局限性。对异常检测技术来说，该项技术对检测系统
            的要求非常高，需要其具备强大的处理性能，但是实际应用阶段问题较多。

                ①如何能够通过数据准确表示用户的正常行为，同时能够降低数据处理的难
            度，这也是目前急需解决的一大问题。因此需要持续改变系统、用户的行为，持
            续更新，保证其时效性。但是在持续更新的过程中，用户行为突然发生变化会导
            致误报问题发生，使检测结果的准确性下降。

                ②异常检测技术的应用中网络界定参考阈值的确定仍存在一定的不足，如果
            设定值较高，会导致漏报风险增加，如果设定值较低，会导致误报风险增加，因
            此无法全面描述系统中全部用户的行为，同时用户发生动态改变频繁，系统的误
            报率明显提高。

                ③对检测时间来说，异常检测技术进行检测需要花费大量的时间，难以保证
            系统的稳定运行。如果系统处于训练状态，需要不断更新用户模型将入侵行为转
            化为正常行为，设定为正常模式会导致检测的准确性下降。由于入侵模式库不完



            ·122·