网络安全受关注入侵检测防范于未然

华北工控供文

随着计算机网络的高速发展，网络安全已成为日益严重的社会问题。具权威统计，2001年计算机病毒与黑客攻击在全球造成的经济损失高达数百亿美元。

入侵检测是继"防火墙"、"信息加密"等方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，寻找危及网络安全的各种入侵行为并及时报警。根据被保护对象网络结构和规模的不同，一般有两种系统结构：二级结构和三级结构。

系统结构

二级结构：

二级结构适用于保护拓扑结构较为简单的网络，系统由入侵检测引擎和管理控制台两部分组成。

入侵检测引擎：入侵检测引擎为专用硬件设备，一般采用1U工业级主机，可安装在标准机架上。其作用是：捕获网络中传输的数据，检测攻击并发出实时报警，保存检测到的信息供事后查询分析。

硬件配置：1U机箱RPC-1100E/多网口CPU卡NORCO MB-3L-B/CPU PIII 1.0G/内存

256M SDRAM/40G硬盘

管理控制台：管理控制台是一套软件，可以安装在网络管理员的主机上（Windows 2000/NT操作系统）。它的作用是：对引擎进行配置管理，接收实时报警，查询引擎中的数据。

三级结构：

三级结构适用于保护大中型网络，它由入侵检测引擎、中心机和管理控制台3部分组成。大中型网络的拓扑结构复杂，地域分布广，数据流量大，需要使用多个引擎才能对整个网络进行监控。对这种情况，专门增设了一台中心机，负责收集和保存各引擎检测到的数据，并进行二次分析，为管理员提供综合分析报告。管理员的指令也可以通过中心机自动下发到各引擎中去执行，提高管理的效率。

主要功能

“网络监控和统计”和“入侵检测和报警”是重点。前者指的是入侵检测系统时刻监视着网络中发生的每次连接，并将其忠实地记录到数据库中，供管理员查询和分析；后者指的是入侵检测系统实时捕获网络内外网之间所传输的所有数据，运用协议分析和模式匹配方法，可以有效地识别各种网络攻击和异常现象，如拒绝服务攻击，非授权访问尝试，预攻击探测等。当发生攻击时，可根据管理员的的配置以多种方式发出实时报警，如通知管理员主机、发送E-mail、通知防火墙等。对于严重的网络入侵事件，也可由入侵检测引擎直接发出阻断信号，切断发生攻击的连接。

典型应用方案

小型网络应用方案：这种网络结构较为简单，只需要安装单个引擎即可对整个网络进行监控。

大中型网络应用方案：这种网络拓扑结构复杂，需要安装多台引擎进行分布式检测。

经实践证明，上述系统集入侵检测、网络监控、实时报警和主动防御功能于一身，为计算机网络提供全方位的保护，可广泛用于政府机关、企业、学校、银行、电力等单位的计算机网络，是网络安全的忠实卫士。