IDS:安全新亮点（2）

　　 
　　IDS:安全新亮点
    IDS结构

总体来讲，入侵检测系统的功能有：

1．监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。

2．检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。

3．对用户的非正常活动进行统计分析，发现入侵行为的规律。

4．检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。

根据以上入侵检测系统的功能，可以把它的功能结构分为两大部分：中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据，并把审计数据转换成与平台无关的格式后传送到中心检测平台，或者把中心平台的审计数据需求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成，其功能是根据代理服务器采集来的审计数据进行专家系统分析，产生系统安全报告。管理员可以向各个主机提供安全管理功能，根据专家系统的分析向各个代理服务器发出审计数据的需求。另外，在中心检测平台和代理服务器之间通过安全的RPC进行通信。IDS结构如图2所示。

图2 IDS结构图

IDS展望

入侵技术研究包括三个部分：

1. 密切跟踪分析国际上入侵技术的发展，不断获得最新的攻击方法。通过分析这些已知的攻击方法，丰富预警系统的检测能力。

2. 加强并利用预警系统的审计、跟踪和现场记录功能，记录并反馈异常事件。通过实例分析提取可疑的网络活动特征，扩充系统的检测范围，使系统能够应对未知的入侵活动。

3. 利用攻击技术的研究成果，创造新的入侵方法，并应用于检测技术。

入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测受到了人们的高度重视。国内的现状是入侵检测仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块阶段。可见，入侵检测产品仍具有较大的发展空间。从技术上讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。目前，许多学者在研究新的检测方法，如采用自动代理主动防御的方法、将免疫学原理应用到入侵检测的方法等。（完）

原文转自：http://www.ltesting.net