入侵检测系统 1
1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势
作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展
依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施
据统计,全球80%以上的入侵来自于内部
由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设
入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生 危 害 前 ,检测到入侵攻击,并 利用 报 警 与 防护系统驱逐 入侵攻击
在入侵攻击过 程 中 ,能减 少入侵攻击所造 成的损 失
在被 入侵攻击后 ,收 集 入侵攻击的相 关 信息,作为防范 系统的知 识 ,添 加入知 识 库 内,增强 系统的防范 能力,避 免 系统再 次 受 到入侵
入侵检测被 认 为是防火墙之 后 的第 二 道 安全闸 门 ,在不影 响 网络性能的情 况 下 能对网络进 行 监听 ,从而 提供对内部攻击、 外部攻击和误 操 作的实时保 护,大 大 提高了网络的安全性
2 背国内外研究现状 入侵检测技术国 外的起 步 较 早 ,有比 较 完 善 的技术和相 关 产 品
如 开 放 源 代 码 的snort,虽 然 它已 经 跟 不上发展的脚 步 ,但它也 是各种商业IDS 的参 照 系; NFR 公 司 的NID 等 ,都 已 相 当 的完 善
虽 然 国 内起 步 晚 ,但是也 有相 当 的商业产 品 : 天
