网络入侵检测剖析.docVIP

网络入侵检测剖析 　　摘要：防止网络入侵是网络安全中重中之重的问题，很多政府机关、企事业单位信息的泄露都是由于网络黑客的入侵。这样，提高网络入侵检测的能力，就提上了日程。该文对网络入侵检测从理论到实际进行了大体的阐述，并重点讨论了入侵检测系统的结构，使其有了很大的实用性。 　　关键词：网络；入侵；snort 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-3036-02 　　Cross-domain Communication Invading Checkout is Explored 　　LI Shui-lian 　　(Lianyingong Port Finance and Economics Branch Institute, Jiangsu Province Unites Occupation Technology College, Lianyungang 222003, China) 　　Abstract: preventing that the cross-domain communication from invading is the question of the most important in the cross-domain communication safety, and it all is owing to invading of cross-domain communication hacker that a lot of government mechanisms and enterprise and institution information are let out. So, raises the cross-domain communication invading the ability which tested, and put forward the programme. What the invading checkout of this text, article, etc. to the cross-domain communication in be in progress roughly from theory to reality expounds, and lay equal stress on a little discussing the structure invading the checkout system, and makes his have very big practical nature. 　　key words: cross-domain; communication; invading and snort 　　1 引言 　　随着信息化建设的深入以及电子商务的开展，信息化已经成为我国各类型企业降低成本、提高效率、提高竞争力的有效武器。计算机互联网得到高速发展和广泛应用的同时，网络安全特别是网络入侵问题变得越来越严重。因此，开展网络安全特别是入侵攻击与防范技术的研究，开发急需的、高效实用的网络入侵检测系统，对计算机网络的发展和网络信息的建设与应用都具有重要意义。 　　入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此作出反应的过程。它从计算机系统的若干关键点收集信息，并分析这些信息，看是否有违反安全策略的行为和遭到攻击者的迹象。它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。入侵检测是在不影响网络性能的情况下对网络进行监测，是一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测是对防火墙的有益补充，二者相互结合共同帮助系统对付网络攻击。 　　2 入侵检测的模型 　　对一个成功的入侵检测系统来讲，它应该能够使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更；为网络安全策略的制订提供指南；它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全；入侵检测的规模应根据网络威胁、系统构造和安全需求的改变而改变；入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。在此，介绍两种具有典型意义的入侵检测模型。 　　2.1 Denning模型 　　Denning模型由Denning1987年提出（如图1）。该模型由主体、对象、审计记录、活动轮廓、异常记录、活动规则6个主要部分