隨著(zhù)計算機網(wǎng)絡(luò )的高速發(fā)展，網(wǎng)絡(luò )安全已成為日益嚴重的社會(huì )問(wèn)題。具權威統計，2001年計算機病毒與黑客攻擊在全球造成的經(jīng)濟損失高達數百億美元。

　　入侵檢測是繼"防火墻"、"信息加密"等方法之后的新一代安全保障技術(shù)。它監視計算機系統或網(wǎng)絡(luò )中發(fā)生的事件，并對它們進(jìn)行分析，尋找危及網(wǎng)絡(luò )安全的各種入侵行為并及時(shí)報警。

　　根據被保護對象網(wǎng)絡(luò )結構和規模的不同，一般有兩種系統結構：二級結構和三級結構。

系統結構
1、 二級結構
　　二級結構適用于保護拓撲結構較為簡(jiǎn)單的網(wǎng)絡(luò )，系統由入侵檢測引擎和管理控制臺兩部分組成。

?入侵檢測引擎
入侵檢測引擎為專(zhuān)用硬件設備，一般采用1U工業(yè)級主機，可安裝在標準機架上。其作用是：捕獲網(wǎng)絡(luò )中傳輸的數據，檢測攻擊并發(fā)出實(shí)時(shí)報警，保存檢測到的信息供事后查詢(xún)分析。

硬件配置：
1U機箱 RPC-1100E
多網(wǎng)口CPU卡 NORCO MB-3L-B
CPU PIII 1.0G
內存 256M SDRAM
硬盤(pán) 40G

?管理控制臺
　　管理控制臺是一套軟件，可以安裝在網(wǎng)絡(luò )管理員的主機上（Windows 2000/NT操作系統）。它的作用是：對引擎進(jìn)行配置管理，接收實(shí)時(shí)報警，查詢(xún)引擎中的數據。

2、 三級結構
　　三級結構適用于保護大中型網(wǎng)絡(luò )，它由入侵檢測引擎、中心機和管理控制臺三部分組成。大中型網(wǎng)絡(luò )的拓撲結構復雜，地域分布廣，數據流量大，需要使用多個(gè)引擎才能對整個(gè)網(wǎng)絡(luò )進(jìn)行監控。對這種情況，專(zhuān)門(mén)增設了一臺中心機，負責收集和保存各引擎檢測到的數據，并進(jìn)行二次分析，為管理員提供綜合分析報告。管理員的指令也可以通過(guò)中心機自動(dòng)下發(fā)到各引擎中去執行，提高管理的效率。}

主要功能

?網(wǎng)絡(luò )監控和統計
入侵檢測系統時(shí)刻監視著(zhù)網(wǎng)絡(luò )中發(fā)生的每次連接，并將其忠實(shí)地記錄到數據庫中，供管理員查詢(xún)和分析。

?入侵檢測和報警
入侵檢測系統實(shí)時(shí)捕獲網(wǎng)絡(luò )內外網(wǎng)之間所傳輸的所有數據，運用協(xié)議分析和模式匹配方法，可以有效地識別各種網(wǎng)絡(luò )攻擊和異?，F象，如拒絕服務(wù)攻擊，非授權訪(fǎng)問(wèn)嘗試，預攻擊探測等。當發(fā)生攻擊時(shí)，可根據管理員的的配置以多種方式發(fā)出實(shí)時(shí)報警，如通知管理員主機、發(fā)送E-mail、通知防火墻等。對于嚴重的網(wǎng)絡(luò )入侵事件，也可由入侵檢測引擎直接發(fā)出阻斷信號，切斷發(fā)生攻擊的連接。

典型應用方案
?小型網(wǎng)絡(luò )應用方案
這種網(wǎng)絡(luò )結構較為簡(jiǎn)單，只需要安裝單個(gè)引擎即可對整個(gè)網(wǎng)絡(luò )進(jìn)行監控。       
     
    

?大中型網(wǎng)絡(luò )應用方案
這種網(wǎng)絡(luò )拓撲結構復雜，需要安裝多臺引擎進(jìn)行分布式檢測。
　　　 　　            
    
     

結束語(yǔ)
　　經(jīng)實(shí)踐證明，上述系統集入侵檢測、網(wǎng)絡(luò )監控、實(shí)時(shí)報警和主動(dòng)防御功能于一身，為計算機網(wǎng)絡(luò )提供全方位的保護，可廣泛用于政府機關(guān)、企業(yè)、學(xué)校、銀行、電力等單位的計算機網(wǎng)絡(luò )，是網(wǎng)絡(luò )安全的忠實(shí)衛士。