网络入侵检测系统（IDS）漫谈.doc

　　网络入侵检测系统（IDS）漫谈～教育资源库 　　随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。 　　作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。 　　IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。 　　伴随着计算机网络技术和互联网的飞速发展，网络攻击和入侵事件与日俱增，特别是近两年，政府部门、军事机构、金融机构、企业的计算机网络频遭黑客袭击。攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵，如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害，甚至直接威胁到国家的安全。 　　一、存在的问题 　　攻击者为什么能够对网络进行攻击和入侵呢？原因在于，我们的计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，主要表现在操作系统、网络服务、TCP/IP协议、应用程序（如数据库、浏览器等）、网络设备等几个方面。正是这些弱点、漏洞和不安全设置给攻击者以可乘之机。另外，由于大部分网络缺少预警防护机制，即使攻击者已经侵入到内部网络，侵入到关键的主机，并从事非法的操作，我们的网管人员也很难察觉到。这样，攻击者就有足够的时间来做他们想做的任何事情。 　　那么，我们如何防止和避免遭受攻击和入侵呢？首先要找出网络中存在的安全弱点、漏洞和不安全的配置；然后采用相应措施堵塞这些弱点、漏洞，对不安全的配置进行修正，最大限度地避免遭受攻击和入侵；同时，对网络活动进行实时监测，一旦监测到攻击行为或违规操作，能够及时做出反应，包括记录日志、报警甚至阻断非法连接。 　　IDS的出现，解决了以上的问题。设置硬件防火墙，可以提高网络的通过能力并阻挡一般性的攻击行为；而采用IDS入侵防护系统，则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。 　　二、IDS日显重要 　　目前，随着IDS技术的逐渐成熟，在整个安全部署中的重要作用正在被广大用户所认可和接受。为了确保网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。IDS就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。IDS是继防火墙、信息加密等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。IDS就是自动执行这种监视和分析过程的安全产品。 　　IDS的主要优势是监听网络流量，不会影响网络的性能。虽然在理论上，IDS对用户不是必需的，但它的存在确实减少了网络的威胁。有了IDS，就像在一个大楼里安装了监视器一样，可对整个大楼进行监视，用户感觉很踏实，用IDS对用户来说是很值得的。 　　入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用：通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；检测其他安全措施未能阻止的攻击或安全违规行为；检测黑客在攻击前的探测行为，预先给管理员发出警报；报告计算机系统或网络中存在的安全威胁；提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。 　　随着用户对IDS认识的加深，IDS在整个安全体系架构中的地位也在不断提高，正成为一种必不可少的安全产品，在实际使用中，发挥着越来越大的作用，就像交通灯、摄像头一样，对攻击者起到了一种威慑的作用，能够对入侵行为，特别是常规的入侵行为做很好的监测，对网络安全有一定的保护作用。 　　三、IDS是什么 　　在本质上，入侵检测系统是一个典型的窥探设备。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动地、无声息地收集它所关心的报文即可。IDS处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告以及响应阶段等四个阶段。数据采集阶段是数据审核阶段。入侵检测系统收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。分析及检