一、入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)可以分為入侵檢測(cè)、入侵防御兩大類。其中入侵檢測(cè)系統(tǒng)是根據(jù)特定的安全策略，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行狀態(tài)，盡量在非法入侵程序發(fā)起攻擊前發(fā)現(xiàn)其攻擊企圖，從而提高網(wǎng)絡(luò)系統(tǒng)資源的完整性和保密性。入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的區(qū)別在于：入侵檢測(cè)只具備單純的報(bào)警作用，而對(duì)于網(wǎng)絡(luò)入侵無法做出防御，而入侵防御系統(tǒng)則位于網(wǎng)絡(luò)與防火墻的硬件設(shè)備中間，當(dāng)其檢測(cè)到惡意攻擊時(shí)，會(huì)在這種攻擊開始擴(kuò)散前將其阻止在外。并且二者檢測(cè)攻擊的方法也不同，入侵防御系統(tǒng)對(duì)入網(wǎng)的數(shù)據(jù)包進(jìn)行檢查，在確定該數(shù)據(jù)包的真正用途的前提下，再對(duì)其是否可以進(jìn)入網(wǎng)絡(luò)進(jìn)行判斷。

二、入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

（1）基于網(wǎng)絡(luò)的入侵檢測(cè)?；诰W(wǎng)絡(luò)的入侵檢測(cè)形式有基于硬件的，也有基于軟件的，不過二者的工作流程是相同的。它們將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式，以便于對(duì)全部流經(jīng)該網(wǎng)段的數(shù)據(jù)進(jìn)行時(shí)實(shí)監(jiān)控，將其做出分析，再和數(shù)據(jù)庫中預(yù)定義的具備攻擊特征做出比較，從而將有害的攻擊數(shù)據(jù)包識(shí)別出來，做出響應(yīng)，并記錄日志。一是入侵檢測(cè)的體系結(jié)構(gòu)。網(wǎng)絡(luò)入侵檢測(cè)的體系結(jié)構(gòu)通常由三部分組成，分別為Agent、Console以及Manager。其中Agent的作用是對(duì)網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視，找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的主要作用是負(fù)責(zé)收集代理處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器；Manager的主要作用則是響應(yīng)配置攻擊警告信息，控制臺(tái)所發(fā)布的命令也由Manager來執(zhí)行，再把代理所發(fā)出的攻擊警告發(fā)送至控制臺(tái)。二是入侵檢測(cè)的工作模式?；诰W(wǎng)絡(luò)的入侵檢測(cè)，要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測(cè)代理，按照網(wǎng)絡(luò)結(jié)構(gòu)的不同，其代理的連接形式也各不相同。如果網(wǎng)段的連接方式為總線式的集線器，則把代理與集線器中的某個(gè)端口相連接即可；如果為交換式以太網(wǎng)交換機(jī)，因?yàn)榻粨Q機(jī)無法共享媒價(jià)，因此只采用一個(gè)代理對(duì)整個(gè)子網(wǎng)進(jìn)行監(jiān)聽的辦法是無法實(shí)現(xiàn)的。因此可以利用交換機(jī)核心芯片中用于調(diào)試的端口中，將入侵檢測(cè)系統(tǒng)與該端口相連接。或者把它放在數(shù)據(jù)流的關(guān)鍵出入口，于是就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。三是攻擊響應(yīng)及升級(jí)攻擊特征庫、自定義攻擊特征。如果入侵檢測(cè)系統(tǒng)檢測(cè)出惡意攻擊信息，其響應(yīng)方式有多種，例如發(fā)送電子郵件、記錄日志、通知管理員、查殺進(jìn)程、切斷會(huì)話、通知管理員、啟動(dòng)觸發(fā)器開始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號(hào)以及創(chuàng)建一個(gè)報(bào)告等等。升級(jí)攻擊特征庫可以把攻擊特征庫文件通過手動(dòng)或者自動(dòng)的形式由相關(guān)的站點(diǎn)中下載下來，再利用控制臺(tái)將其實(shí)時(shí)添加至攻擊特征庫中。而網(wǎng)絡(luò)管理員可以按照單位的資源狀況及其應(yīng)用狀況，以入侵檢測(cè)系統(tǒng)特征庫為基礎(chǔ)來自定義攻擊特征，從而對(duì)單位的特定資源與應(yīng)用進(jìn)行保護(hù)。（2）對(duì)于主機(jī)的入侵檢測(cè)。通常對(duì)主機(jī)的入侵檢測(cè)會(huì)設(shè)置在被重點(diǎn)檢測(cè)的主機(jī)上，從而對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息做出智能化的分析與判斷。如果發(fā)展可疑情況，則入侵檢測(cè)系統(tǒng)就會(huì)有針對(duì)性的采用措施?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以具體實(shí)現(xiàn)以下功能：對(duì)用戶的操作系統(tǒng)及其所做的所有行為進(jìn)行全程監(jiān)控；持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性，并進(jìn)行主動(dòng)的維護(hù)；創(chuàng)建全新的安全監(jiān)控策略，實(shí)時(shí)更新；對(duì)于未經(jīng)授權(quán)的行為進(jìn)行檢測(cè)，并發(fā)出報(bào)警，同時(shí)也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施；將所有日志收集起來并加以保護(hù)，留作后用?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)對(duì)于主機(jī)的保護(hù)很全面細(xì)致，但要在網(wǎng)路中全面部署成本太高。并且基于主機(jī)的入侵檢測(cè)系統(tǒng)工作時(shí)要占用被保護(hù)主機(jī)的處理資源，所以會(huì)降低被保護(hù)主機(jī)的性能。

三、入侵檢測(cè)技術(shù)存在的問題

第一，局限性。由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只對(duì)與其直接連接的網(wǎng)段通信做出檢測(cè)，而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無法檢測(cè)，因此如果網(wǎng)絡(luò)環(huán)境為交換以太網(wǎng)，則其監(jiān)測(cè)范圍就會(huì)表現(xiàn)出一定的局限性，如果安裝多臺(tái)傳感器則又增加了系統(tǒng)的成本。第二，目前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般采有的是特征檢測(cè)的方法，對(duì)于一些普通的攻擊來說可能比較有效，但是一些復(fù)雜的、計(jì)算量及分析時(shí)間均較大的攻擊則無法檢測(cè)。第三，監(jiān)聽某些特定的數(shù)據(jù)包時(shí)可能會(huì)產(chǎn)生大量的分析數(shù)據(jù)，會(huì)影響系統(tǒng)的性能。第四，在處理會(huì)話過程的加密問題時(shí)，對(duì)于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來說相對(duì)較難，現(xiàn)階段通過加密通道的攻擊相對(duì)較少，但此問題會(huì)越來越突出。第五，入侵檢測(cè)系統(tǒng)自身不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力，不過可以與防火墻進(jìn)行聯(lián)動(dòng)，發(fā)現(xiàn)入侵行為后通過聯(lián)動(dòng)協(xié)議通知防火墻，讓防火墻采取隔離手段。

現(xiàn)階段的入侵檢測(cè)技術(shù)相對(duì)來說還存在著一定的缺陷，很多單位在解決網(wǎng)絡(luò)入侵相關(guān)的安全問題時(shí)都采用基于主機(jī)與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測(cè)系統(tǒng)。當(dāng)然入侵檢測(cè)技術(shù)也在不斷的發(fā)展，數(shù)據(jù)挖掘異常檢測(cè)、神經(jīng)網(wǎng)絡(luò)異常檢測(cè)、貝葉斯推理異常檢測(cè)、專家系統(tǒng)濫用檢測(cè)、狀態(tài)轉(zhuǎn)換分析濫用檢測(cè)等入侵檢測(cè)技術(shù)也越來越成熟?？傊?，用戶要提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，不僅僅要靠技術(shù)支持，還要依靠自身良好的維護(hù)與管理。