IDS2000ID2000.docVIP

IDS2000入侵检测系统 伴随着新世纪的钟声，人类步入了信息社会。随着互联网在我国的普及和网络应用的深入，各级政府部门，教育和科研机构，企事业单位，乃至个人组织都相继推出了计算机网络服务，从根本上改变了人们的生活和工作方式。人们在提供网络服务、参与网络活动的同时，往往只看到其便利、有益的一面，而降低了警惕性，忽视了潜在于网络中的安全问题。以往的教训表明，如果对网络安全问题掉以轻心，互联网络也可能会使服务提供者的形象严重受损，带来重大经济损失，甚至造成恶劣的社会影响。互联网具有天然的开放性和协议的简便性，它在展示其无所不能的强大威力的同时，也不可避免地伴随了大量的安全隐患。网络结构组织各方面的缺陷，系统与应用软件的漏洞，以及网络管理员的水平低下和疏忽大意，都可能使网络攻击者有机可乘；恶意的入侵者干扰正常业务，销毁或篡改重要数据，甚至使更多的服务器失去控制，造成一系列严重后果。 人们在得益于信息革命所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。伴随着对网络技术的推进，网络攻防的战斗也越演越烈。网络安全已经引起各国、各部门、各行各业的高度重视，在网络中引入安全防范机制已经成为人们的公识。防范网络攻击，最常用的对策是构建防火墙。防火墙是一种应用层网关，按照设定的规则对进入网络的IP分组进行过滤，同时也能针对各种网络应用提供相应的安全服务。利用防火墙技术，经过仔细的配置，通常能在内外网之间实施安全的网络保护机制，降低风险。但仅仅使用防火墙保障网络安全是远远不够的，因为入侵者会想方设法寻找防火墙背后可能敞开的通道。另一方面，防火墙在阻止内部袭击等方面也收效甚微，对于企业内部心怀不满而又技术高超的员工来说，防火墙形同虚设。而且，由于性能的限制，防火墙通常不能提供有效的入侵检测能力。因此，认为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。能否成功阻止网络黑客的入侵，保障计算机和网络系统的安全和正常运行，已经成为各机构和单位能否正常运作的关键性问题。 入侵检测（Intrusion Detection Systems简称IDS）是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标GB/T18336）。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略。 IDS2000是有北京联华中安信息技术有限公司根据长期对入侵行为进行监测、分析、研究成果自主研发的检测系统软件。能实时采集网络系统中的信息数据，并通过综合分析和比较，判断是否有入侵和可以行为的发生，并采用多种方式实时告警，记录攻击，阻断攻击者的进行，从而起到保护用户网络和系统免受外部和内部的攻击的作用。 一、 IDS存在和发展的原因：  1、网络安全本身的复杂性，被动式的防御方式显得力不从心。  2、有关防火墙：网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均 来自防火墙外部。  3、入侵很容易：入侵教程随处可见;各种工具唾手可得 二、 IDS的起源：  1、1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与视》的技术报告中指出，审计记录可以用于识别计算机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念。。  2、1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES（Intrusion Detection Expert Systems入侵检测专家系统），是第一个在一个应用中运用了统计和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。 3、1989年，加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》，该监控器用于捕获TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。 4、1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor)  　该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下