入侵检测技术

来自计算思维百科
跳转至: 导航搜索

对于企业网络来说,入侵的来源可能是企业内部心怀不满的员工、网络黑客,甚至是竞争对手。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库的内容,摧毁网络节点,释放计算机病毒,直到整个企业网络陷入瘫痪。

虽然防火墙强大的身份验证能够保护系统不受未经授权访问的侵扰,但其对专业黑客或恶意的经授权用户却无能为力。依赖防火墙建立的网络组织往往是“外紧内松”,从外面看似非常安全,但内部缺乏必要的安全措施,对于企业内部人员所做的攻击,防火墙形同虚设。据统计,全球80%以上的入侵来自于内部。那么网络在被动保护自己不受侵犯的同时,能否采取某些技术,主动保护自身的安全呢?

安全领域有一句名言“预防是理想的,但检测是必须的”,如果网络防线最终被攻破,那就需要及时发出被入侵的警报。

入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术,是对防火墙极其有益的补充。入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加到知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

入侵检测(Intrusion Detection,ID),顾名思义,是对入侵行为的检测。所谓入侵,不仅包括发起攻击的人(如黑客)取得超出合法范围的系统控制权,也包括搜集漏洞信息,造成拒绝服务等对计算机系统造成危害的行为。入侵检测通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,并根据既定的策略采取一定的措施。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS),该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。