打造Linux安全堡垒入侵检测与预警

信息基础设施的重要性，决定了网络入侵检测与预警的必要性。当我们像需要雷达来保卫领空一样地需要网络预警来保卫网络时，投入人力、物力和财力来攻克网络预警的关键技术，研制和开发实用的网络入侵检测与预警系统便成为十分必要的举措。

一、开展入侵检测技术研究的紧迫性

所有的安全威胁都有可能以攻击、侵入、渗透、影响、控制和破坏网络和网上信息系统作为重要手段。因此，对来自网上的破坏活动的监控与审计，是防范的先决条件，是构筑信息安全环境重要而必不可少的环节。

国外早已开展了早期预警系统及入侵检测技术的研究，在一些重要的政治、军事和经济网络上对非法入侵实施监控。这些系统在保障信息网络安全、尽早发现入侵攻击迹象、分析入侵攻击的技术手段方面发挥着重要的作用。为了提高信息系统的防护能力，我国应尽快填补这方面的空白。

二、多样化的检测对象

网络入侵活动是由不同类型的个人或组织，怀着不同的目的，采用不同的技术，于不同的地点和时间，针对不同的目标而发动的。诸多的不同及其不同的组合，构成了检测对象的多样性。

入侵检测与预警技术的研究，至少要达成如下多层次的目标：

1. 对信息基础设施的安全状况及威胁(包括威胁的来源和程度)做出全面的系统评估。

2. 把威胁的来源作为对象，按时间顺序、动作意图、威胁范围和程度，进行统计、分析及审计。

3. 对来自外部网络的恶意代码和违规操作进行识别、跟踪、记录、分类和报警。

4. 为遭到破坏的网络及信息系统的恢复提供技术性支持。

三、预警的复杂性

由于网络的危害行为是一系列很复杂的活动，特别是有预谋、有组织的网络入侵，因而有效的预警在技术实现上比较复杂并有一定的难度。

预警的复杂性表现在：

* 来源的识别；

* 企图的判定；

* 危害程度和潜在能力的判断；

* 网络技术的跟踪；

* 软件设计；

* 硬件的适应性。

根据我们的研究，以下三方面是亟待解决的问题。