文档介绍:,网站的点击也逐日增加。与此同时,张先生也更加愿意投入资金,添置了防火墙、杀毒软件等来保护自己的网站。尽管如此,他的网站还是会不时遭到莫名的攻击。新来的网络管理员小李了解了该网站的大概情况后,他向张先生建议,只配备防火墙和杀毒软件还不够,还需要一个强大的技术来保证网络的安全,那就是入侵检测技术。在采纳了小李的建议后,网站的安全状况有了明显的好转。,能保护系统不受未经授权访问的侵扰,但却无法阻止来自内部人员的攻击。在网络安全管理中,除了消极被动地阻止攻击行为,还应该主动出击去检测那些正在实施的攻击行为,进一步预防安全隐患的发生。传统的防火墙在工作时,就像深宅大院虽有高大的院墙,却不能挡住小老鼠甚至是家贼的偷袭一样,因为入侵者可以找到防火墙背后可能敞开的***。如果说防火墙是一幢大楼的门卫,那么入侵检测和防御就是这幢大楼里的监视系统。一旦有入侵大楼的行为,或内部人员有越界行为,实时监视系统就会发现情况并发出警报。(IntrusionDetectionSystem,IDS)是一类专门面向网络入侵的安全监测系统,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统的基本功能有以下几个方面。(1)检测和分析用户及系统的活动。(2)审计系统配置和漏洞。(3)识别已知攻击。(4)统计分析异常行为。(5)评估系统关键资源和数据文件的完整性。(6)对操作系统的审计、追踪、管理,并识别用户违反安全策略的行为。一个成功的入侵检测系统,不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制定提供指南。同时,它应该是管理和配置简单,使非专业人员也能容易地获得网络安全。当然,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,应及时做出响应,包括切断网络连接、记录事件和报警等。目前,入侵检测系统主要以模式匹配技术为主,并结合异常匹配技术。从实现方式上一般分为两种:基于主机和基于网络,而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。另外,能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。(DARPA)提出的建议是公共入侵检测框架(CIDF)。CIDF阐述了一个入侵检测系统的通用模型,它将一个入侵检测系统分为以下四个基本组件:事件发生器、事件分析器、响应单元和事件数据库。