文档介绍：工程入侵检测技术
第一页，编辑于星期三：二十一点 五十四分。
工程提出
张先生开办的公司开展势头良好，网站的点击也逐日增加。与此同时，张先生也更加愿意投入资金，添置了防火墙、杀毒软件等来保护自己的网站。尽管如此，他的网站还是会不时遭到莫名的攻击。
新来的网络管理员小李了解了该网站的大概情况后，他向张先生建议，只配备防火墙和杀毒软件还不够，还需要一个强大的技术来保证网络的平安，那就是入侵检测技术。
在采纳了小李的建议后，网站的平安状况有了明显的好转。
第二页，编辑于星期三：二十一点 五十四分。
工程分析
防火墙尽管具有强大的抵御外部攻击的功能，能保护系统不受未经授权访问的侵扰，但却无法阻止来自内部人员的攻击。
在网络平安管理中，除了消极被动地阻止攻击行为，还应该主动出击去检测那些正在实施的攻击行为，进一步预防平安隐患的发生。
传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的***。
第三页，编辑于星期三：二十一点 五十四分。
另外，防火墙完全不能阻止来自网络内部的攻击，通过调查发现，65%左右的攻击来自于网络内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。
还有，由于性能的限制，防火墙不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。
最后，防火墙对于病毒也束手无策。
因此，以为在Internet入口处部署防火墙系统就足够平安的想法是不切实际的。
根据这一问题，人们设计出了入侵检测系统(IDS)，IDS可以弥补防火墙的缺乏，为网络平安提供实时的入侵检测及采取相应的防护手段，如，记录证据用于跟踪、恢复、断开网络连接等。
第四页，编辑于星期三：二十一点 五十四分。
如果说防火墙是一幢大楼的门卫，那么入侵检测和防御就是这幢大楼里的监视系统。
一旦有入侵大楼的行为，或内部人员有越界行为，实时监视系统就会发现情况并发出警报。
第五页，编辑于星期三：二十一点 五十四分。
相关知识点
入侵检测系统概述
入侵检测系统 (Intrusion Detection System，IDS) 是一类专门面向网络入侵的平安监测系统，它从计算机网络系统中的假设干关键点收集信息，并分析这些信息，查看网络中是否有违反平安策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道平安防线，在不影响网络性能的情况下能对网络进展监测，从而提供对内部攻击、外部攻击和误操作的实时保护。
第六页，编辑于星期三：二十一点 五十四分。
入侵检测系统的根本功能有以下几个方面。
(1) 检测和分析用户及系统的活动。
(2) 审计系统配置和漏洞。
(3) 识别攻击。
(4) 统计分析异常行为。
(5) 评估系统关键资源和数据文件的完整性。
(6) 对操作系统的审计、追踪、管理，并识别用户违反平安策略的行为。
第七页，编辑于星期三：二十一点 五十四分。
一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更，还能给网络平安策略的制定提供指南。
同时，它应该是管理和配置简单，使非专业人员也能容易地获得网络平安。
当然，入侵检测的规模还应根据网络威胁、系统构造和平安需求的改变而改变。
入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。
第八页，编辑于星期三：二十一点 五十四分。
目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。
从实现方式上一般分为两种：基于主机和基于网络，
而一个完备的入侵检测系统那么一定是基于主机和基于网络这两种方式兼备的分布式系统。
另外，能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。
第九页，编辑于星期三：二十一点 五十四分。
入侵检测系统的根本构造
美国国防部高级研究方案署(DARPA)提出的建议是公共入侵检测框架(CIDF)。CIDF阐述了一个入侵检测系统的通用模型，它将一个入侵检测系统分为以下四个根本组件：事件发生器、事件分析器、响应单元和事件数据库。
第十页，编辑于星期三：二十一点 五十四分。