入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生 危 害 前 ,检测到入侵攻击,并 利用 报 警 与 防护系统驱逐 入侵攻击。在入侵攻击过 程 中 ,能减 少入侵攻击所造 成的损 失 。在被 入侵攻击后 ,收 集 入侵攻击的相 关 信息,作为防范 系统的知 识 ,添 加入知 识 库 内,增强 系统的防范 能力,避 免 系统再 次 受 到入侵。入侵检测被 认 为是防火墙之 后 的第 二 道 安全闸 门 ,在不影 响 网络性能的情 况 下 能对网络进 行 监听 ,从而 提供对内部攻击、 外部攻击和误 操 作的实时保 护,大 大 提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国 外的起 步 较 早 ,有比 较 完 善 的技术和相 关 产 品 。如 开 放 源 代 码 的snort,虽 然 它已 经 跟 不上发展的脚 步 ,但它也 是各种商业IDS 的参 照 系; NFR 公 司 的NID 等 ,都 已 相 当 的完 善 。虽 然 国 内起 步 晚 ,但是也 有相 当 的商业产 品 : 天 阗 IDS、 绿盟 冰 之 眼 等 不错 的产 品 ,不过 国 外有相 当 完 善 的技术基础,国 内在这 方面相 对较 弱 。 信息与计算科学系课程设计报告 2 2. 入侵检测的概念和系统结构 2.1 入侵检测的概念 入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵检测系统(Intrusion Detection System),简称IDS。一个完整的入侵检测系统必须具有:经济性、时效性、安全性、可扩展性的特点...
