随着计算机网络的高速发展,网络安全已成为日益严重的社会问题。具权威统计,2001年计算机病毒与黑客攻击在全球造成的经济损失高达数百亿美元。入侵检测是继"防火墙"、"信息加密"等方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,寻找危及网络安全的各种入侵行为并及时报警。根据被保护对象网络结构和规模的不同,一般有两种系统结构:二级结构和三级结构。
【系统结构】
1、二级结构
二级结构适用于保护拓扑结构较为简单的网络,系统由入侵检测引擎和管理控制台两部分组成。
(1)入侵检测引擎
入侵检测引擎为专用硬件设备,一般采用1U工业级主机,可安装在标准机架上。其作用是:捕获网络中传输的数据,检测攻击并发出实时报警,保存检测到的信息供事后查询分析。
硬件配置:(相应硬件产品具体资料可以参见www.evoc.com网页资料)
1U机箱 IPC-8118或IPC-8118B
多网口CPU卡 NET-1611V4N、NET-1612V4N、NET-1613V4N或NET-1711VD4N
CPU PIII 1.0G或P4 3.06G
内存 256M SDRAM或 256M DDR
硬盘 80G
(2)管理控制台
管理控制台是一套软件,可以安装在网络管理员的主机上(Windows 2000/NT操作系统)。它的作用是:对引擎进行配置管理,接收实时报警,查询引擎中的数据。
2、三级结构
三级结构适用于保护大中型网络,它由入侵检测引擎、中心机和管理控制台三部分组成。大中型网络的拓扑结构复杂,地域分布广,数据流量大,需要使用多个引擎才能对整个网络进行监控。对这种情况,专门增设了一台中心机,负责收集和保存各引擎检测到的数据,并进行二次分析,为管理员提供综合分析报告。管理员的指令也可以通过中心机自动下发到各引擎中去执行,提高管理的效率。
【主要功能】
(1)网络监控和统计
入侵检测系统时刻监视着网络中发生的每次连接,并将其忠实地记录到数据库中,供管理员查询和分析。
(2)入侵检测和报警
入侵检测系统实时捕获网络内外网之间所传输的所有数据,运用协议分析和模式匹配方法,可以有效地识别各种网络攻击和异常现象,如拒绝服务攻击,非授权访问尝试,预攻击探测等。当发生攻击时,可根据管理员的的配置以多种方式发出实时报警,如通知管理员主机、发送E-mail、通知防火墙等。对于严重的网络入侵事件,也可由入侵检测引擎直接发出阻断信号,切断发生攻击的连接。
【典型应用方案】
(1)小型网络应用方案
这种网络结构较为简单,只需要安装单个引擎即可对整个网络进行监控。
[img]2006619451892886.gif[/img]
(2)大中型网络应用方案
这种网络拓扑结构复杂,需要安装多台引擎进行分布式检测。
[img]2006619455042442.gif[/img]
【结束语】
经实践证明,上述系统集入侵检测、网络监控、实时报警和主动防御功能于一身,为计算机网络提供全方位的保护,可广泛用于政府机关、企业、学校、银行、电力等单位的计算机网络,是网络安全的忠实卫士。
技术中心
