【摘要】入侵检测系统(IDS)可以对系统或
【关键词】入侵检测系统;智能检测技术;网络安全;CIDF ;防火墙
近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。
1980年,James P.Anderson 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部B透、内部B透和不法行为三种,还提出了利用审计数据监视入侵活动的思想。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES)。1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。1980年4月,James P.Anderson为美国空军做了一份题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。这份报告被公认为是入侵检测的开山之作。入侵检测系统的典型代表是ISS公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor,Axent公司的NetProwler,CISCO公司的Netranger等。国内的该类产品较少,但发展很快,近几年国内的IDS产品开发方兴未艾,主流产品有:
·华为3Com的Quidway SecEngine D200入侵检测系统。通过对网络流量进行监听分析,D200可以对流经被保护网络的流量进行基于状态的内容特征匹配、协议跟踪分析、流量异常探测三种技术的综合检测,同时通过联动接口,D200可以通知交换机、路由器、防火墙对网络攻击进行阻断,论文网从而达到整体防御的目的。
·联想的网御入侵检测系统。网御入侵检测系统采用分布式入侵检测系统构架,综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状态,提供实时的入侵监控及相应的防护手段,为网络创造全面纵深的安全防御体系。对检测出的违反安全策略的事件,提供多种报警模式,并实现了与多种安全设备联动。
·启明星辰的天闻入侵检测与管理系统。天闻入侵检测与管理系统利用全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出入侵威胁和资产脆弱性之间的风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
·绿盟科技的“冰之眼”入侵检测系统。“冰之眼”入侵检测系统1200系列具有1000M网络上64byte(TCPSyn)线速处理能力,是世界上x86体系唯一达到2Gb线速的NIDS。其高速处理能力得益于先进的引擎架构:以协议解码为基础,配合以协议异常、协议识别和攻击结果检测技术。
·东软的NetEye IDS入侵检测系统。NetEye IDS入侵检测系统可对自身的数据库进行自动维护和备份,不需要用户的干预;同时具备完整的多用户分权管理,支持多级分布式管理,便于大规模部署,并可与防火墙联动,自动配置防火墙策略,组成完整的网络安全解决方案。
1/2 1 2 下一页 尾页 |