入侵检测技术是当今一种非常重要的动态安全技术，如果与 \"传统 \"的 静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。

　　1、入侵检测的内容。关于入侵检测的 \"定义 \"已有数种，其中ICSA入侵检测系统论坛的定义即：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象(的一种安全技术)。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。

　　目前，利用最新的可适应网络安全技术和P2DR（Policy Protection Detection Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从理论的分析方式上可分为两种相异的分析技术：(1)异常发现技术。(2)模式发现技术。

　　目前，国际顶尖的入侵检测系统IDS主要以模式发现技术为主，并结合异常发现技术。IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。另外，能够识别的入侵手段的数量多少，最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。从具体工作方式上看，绝大多数入侵检测系统都采取两种不同的方式来进行入侵检测：基于网络和基于主机的。不管使用哪一种工作方式，都用不同的方式使用了上述两种分析技术，都需要查找攻击签名（Attack Signature）。所谓攻击签名，就是用一种特定的方式来表示已知的攻击方式。

　　2.基于网络的IDS。基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。基于网络的入侵检测系统的主要优点有：（1）成本低。（2）攻击者转移证据很困难。(3)实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。(4)能够检测未成功的攻击企图。(5)操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。

　　3.基于主机的IDS。基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且发出采取相应的行动。

　　基于主机的IDS的主要优势有：(1)非常适用于加密和交换环境。(2)近实时的检测和应答。(3)不需要额外的硬件。

　　4.集成化:IDS的发展趋势。基于网络和基于主机的IDS都有各自的优势，两者相互补充。这两种方式都能发现对方无法检测到的一些入侵行为。从某个重要服务器的键盘发出的攻击并不经过网络，因此就无法通过基于网络的IDS检测到，只能通过使用基于主机的IDS来检测。基于网络的IDS通过检查所有的包首标（header）来进行检测，而基于主机的IDS并不查看包首标。许多基于IP的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的包首标才能识别。基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的IDS迅速识别。而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主机的IDS使用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面，基于主机的IDS对基于网络的IDS是一个很好的补充，人们完全可以使用基于网络的IDS提供早期报警，而使用基于主机的IDS来验证攻击是否取得成功。

　　在下一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。相信未来的集成化的入侵检测产品不仅功能更加强大，而且部署和使用上也更加灵活方便。

　　5.选择合适的IDS。

　　这几年有关入侵检测的产品发展比较快，现在比较流行的入侵检测系统（IDS）也比较多，其中Intruder Alert and Netprowler、Centrax 2.2和Realsecure 3.2采用了集成化的检测方法。

    (1)NetRanger:与路由器结合。Cisco的NetRanger是当前性能最好的IDS之一。NetRanger使用一个引擎/控制模型，它几乎能够检测到当前已知的各种攻击。 -(`C5D0$t