入侵检测是继"防火墙"、"信息加密"等方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,寻找危及网络安全的各种入侵行为并及时报警。
根据被保护对象网络结构和规模的不同,一般有两种系统结构:二级结构和三级结构。
系统结构
1、 二级结构
二级结构适用于保护拓扑结构较为简单的网络,系统由入侵检测引擎和管理控制台两部分组成。
入侵检测引擎
入侵检测引擎为专用硬件设备,一般采用1U工业级主机,可安装在标准机架上。其作用是:捕获网络中传输的数据,检测攻击并发出实时报警,保存检测到的信息供事后查询分析。
硬件配置:
1U机箱 RPC-1100E
多网口CPU卡 NORCO MB-3L-B
CPU PIII 1.0G
内存 256M SDRAM
硬盘 40G
管理控制台
管理控制台是一套软件,可以安装在网络管理员的主机上(Windows 2000/NT操作系统)。它的作用是:对引擎进行配置管理,接收实时报警,查询引擎中的数据。
2、 三级结构
三级结构适用于保护大中型网络,它由入侵检测引擎、中心机和管理控制台三部分组成。大中型网络的拓扑结构复杂,地域分布广,数据流量大,需要使用多个引擎才能对整个网络进行监控。对这种情况,专门增设了一台中心机,负责收集和保存各引擎检测到的数据,并进行二次分析,为管理员提供综合分析报告。管理员的指令也可以通过中心机自动下发到各引擎中去执行,提高管理的效率。}
主要功能
网络监控和统计
入侵检测系统时刻监视着网络中发生的每次连接,并将其忠实地记录到数据库中,供管理员查询和分析。
入侵检测和报警
入侵检测系统实时捕获网络内外网之间所传输的所有数据,运用协议分析和模式匹配方法,可以有效地识别各种网络攻击和异常现象,如拒绝服务攻击,非授权访问尝试,预攻击探测等。当发生攻击时,可根据管理员的的配置以多种方式发出实时报警,如通知管理员主机、发送E-mail、通知防火墙等。对于严重的网络入侵事件,也可由入侵检测引擎直接发出阻断信号,切断发生攻击的连接。
典型应用方案
小型网络应用方案
这种网络结构较为简单,只需要安装单个引擎即可对整个网络进行监控。
|
