入侵检测系统及其在构建校园网安全防护体系中的应用(2)

RealSecure最大的不足在于它无法重组破碎的封包，这是一个较严重的缺陷。它还缺乏对管理控制台事件窗口中全部事件的清除功能。

综合来看，在检测入侵行为并且成功地阻止这些行为方面，ISS的RealSecure是基于主机检测和基于网络检测技术实现最佳集成的典范。

(3)“天眼”网络入侵侦测系统（Netpower）

Netpower是一套以监测网络入侵功能为基础，集成了在线网络入侵检测、入侵即时处理（即时报警、切断连接、暂停服务等）、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式入侵检测系统。系统不仅能及时监控网络资源运行状况，为网络管理人员及时提供网络入侵预警和防范、解决方案，还使得黑客入侵有迹可寻，为用户采取进一步行动提供强有力的技术主持，大大加强了对恶意黑客的威慑力量。

3．2 入侵检测产品选择要点

选择入侵检测系统时，要根据各自学校的具体情况，结合价铬、性能和可升级性选择满足自己需要的入侵检测系统。要考虑的要点有：

(1) 系统的价格

当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素。

(2) 特征库升级与维护的费用

象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

(3) 对于网络入侵检测系统，最大可处理流量(包/秒 PPS)是多少

首先，要分析网络入侵检测系统所布署的网络环境，如果在512K或2M专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

(4) 该产品是否容易被躲避

有些常用的躲开入侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。

(5) 产品的可伸缩性

系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

(6) 运行与维护系统的开销

产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量。

(7) 产品支持的入侵特征数

不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

(8) 产品有哪些响应方法

要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很好的功能，但是，自动配置防火墙可是一个极为危险的举动。

(9) 是否支持IP碎片重组 [3]

入侵检测中，分析单个的数据包会导致许多误报和漏报，IP碎片的重组可以提高检测的精确度。而且，IP碎片是网络攻击中常用的方法，因此，IP碎片的重组还可以检测利用IP碎片的攻击。IP碎片重组的评测标准有三个性能参数：能重组的最大IP分片数；能同时重组的IP包数；能进行重组的最大IP数据包的长度。

(10) 是否支持TCP流重组。

TCP流重组是为了对完整的网络对话进行分析，它是网络入侵检测系统对应用层进行分析的基础。如检查邮件内容、附件，检查FTP传输的数据，禁止访问有害网站、判断非法HTTP请求等。

(11) 是否通过了国家权威机构的评测

主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

4 结束语

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。在构建校园网的安全防护体系中使用防火墙等安全防护技术的同时，引入入侵检测系统，两者相辅相成，互相补充，划分防御层，为入侵者设置层层屏障，就可以最大限度地维护系统的安全。

参考文献:

[1] 网络最高安全技术指南[M].王锐,等.北京:机械工业出版社,1998

[2] Balasubramaniyan,J.S.et al.An architecture for intrusion detection using autonomous agents[C].Computer Security Applications conference, 1998.Proceedings. 14th Annual.1998.86-91

[3] S puter Immunology[J].Communication of ACM,1997,40(10):88-96.