【摘要】入侵检测系统（IDS）可以对系统或

　　【关键词】入侵检测系统；智能检测技术；网络安全；CIDF ；防火墙

　　近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。近年来对电子商务的热切需求，更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。

　　入侵检测的定义为：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。

　　1980年，James P.Anderson 第一次系统阐述了入侵检测的概念，并将入侵行为分为外部B透、内部B透和不法行为三种，还提出了利用审计数据监视入侵活动的思想。即其之后，1986年Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（IDES）。1990年，L.T.Heberlein等设计出监视网络数据流的入侵检测系统，NSM（Network Security Monitor）。自此之后，入侵检测系统才真正发展起来。

　　随着入侵检测技术的发展，成型的产品已陆续应用到实践中。1980年4月，James P.Anderson为美国空军做了一份题为《计算机安全威胁监控与监视》的技术报告，第一次详细阐述了入侵检测的概念。这份报告被公认为是入侵检测的开山之作。入侵检测系统的典型代表是ISS公司的RealSecure。目前较为著名的商用入侵检测产品还有：NAI公司的CyberCop Monitor，Axent公司的NetProwler，CISCO公司的Netranger等。国内的该类产品较少，但发展很快，近几年国内的IDS产品开发方兴未艾，主流产品有：

　　·华为3Com的Quidway SecEngine D200入侵检测系统。通过对网络流量进行监听分析，D200可以对流经被保护网络的流量进行基于状态的内容特征匹配、协议跟踪分析、流量异常探测三种技术的综合检测，同时通过联动接口，D200可以通知交换机、路由器、防火墙对网络攻击进行阻断，论文网从而达到整体防御的目的。

　　·联想的网御入侵检测系统。网御入侵检测系统采用分布式入侵检测系统构架，综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术，全面监视和分析网络的通信状态，提供实时的入侵监控及相应的防护手段，为网络创造全面纵深的安全防御体系。对检测出的违反安全策略的事件，提供多种报警模式，并实现了与多种安全设备联动。

　　·启明星辰的天闻入侵检测与管理系统。天闻入侵检测与管理系统利用全面流量监测发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。

　　·绿盟科技的“冰之眼”入侵检测系统。“冰之眼”入侵检测系统1200系列具有1000M网络上64byte（TCPSyn）线速处理能力，是世界上x86体系唯一达到2Gb线速的NIDS。其高速处理能力得益于先进的引擎架构：以协议解码为基础，配合以协议异常、协议识别和攻击结果检测技术。

　　·东软的NetEye IDS入侵检测系统。NetEye IDS入侵检测系统可对自身的数据库进行自动维护和备份，不需要用户的干预；同时具备完整的多用户分权管理，支持多级分布式管理，便于大规模部署，并可与防火墙联动，自动配置防火墙策略，组成完整的网络安全解决方案。

　　从入侵检测概念的提出至今，在这二十多年的时间中，入侵检测技术的发展十分迅速，但IDS仍然是一个年轻的研究领域，随着Internet技术不断发展，IDS的各个方面从理论研究到实际应用中还存在很多的问题和难题有待研究，探索和发展。主要表现如下：（1）智能检测技术从理论到实际应用的问题。（2） IDS体系结构的可扩展性问题。（3）数据融合问题。    （4）高速网络下，如何提高网络工DS的实时检测效率和降低误警率问题。（5）标准化问题。（6）与其他安全技术的协作问题。

　　人们在完善原有技术的基础上，又在研究新的检测方法。如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为：

　　（1）大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。

　　（2）入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的误警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。

　　（3）与网络安全技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。

　　（4）宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。

　　在目前的计算机安全状态下，基于防火墙、加密技术的安全防护固然重要，但是，要根本改善系统的安全现状，必须要发展入侵检测技术，它已经成为计算机安全策略中的核心技术之一。入侵检测技术（IDS）作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术安全性的要求越来越高，入侵检测技术必将受到人们的高度重视

　　参考文献：

　　[1] Anderson J P. Computer security threat monitoring and surveillance [P] . PA19034,USA, 1980.4

　　[2] 张杰，戴英侠，入侵检测系统技术现状及其发展趋势[J]，计算机与通信，2002.6：28-32

　　[3] 曾昭苏，王锋波，基于数据开采技术的入侵检测系统[J]，自动化博览，2002,8:29-31

　　[4] 唐洪英，付国瑜，入侵检测的原理与方法[J]，重庆