信息基础设施的重要性,决定了网络入侵检测与预警的必要性。当我们像需要雷达来保卫领空一样地需要网络预警来保卫网络时,投入人力、物力和财力来攻克网络预警的关键技术,研制和开发实用的网络入侵检测与预警系统便成为十分必要的举措。
一、开展入侵检测技术研究的紧迫性
所有的安全威胁都有可能以攻击、侵入、渗透、影响、控制和破坏网络和网上信息系统作为重要手段。因此,对来自网上的破坏活动的监控与审计,是防范的先决条件,是构筑信息安全环境重要而必不可少的环节。
国外早已开展了早期预警系统及入侵检测技术的研究,在一些重要的政治、军事和经济网络上对非法入侵实施监控。这些系统在保障信息网络安全、尽早发现入侵攻击迹象、分析入侵攻击的技术手段方面发挥着重要的作用。为了提高信息系统的防护能力,我国应尽快填补这方面的空白。
二、多样化的检测对象
网络入侵活动是由不同类型的个人或组织,怀着不同的目的,采用不同的技术,于不同的地点和时间,针对不同的目标而发动的。诸多的不同及其不同的组合,构成了检测对象的多样性。
入侵检测与预警技术的研究,至少要达成如下多层次的目标:
1. 对信息基础设施的安全状况及威胁(包括威胁的来源和程度)做出全面的系统评估。
2. 把威胁的来源作为对象,按时间顺序、动作意图、威胁范围和程度,进行统计、分析及审计。
3. 对来自外部网络的恶意代码和违规操作进行识别、跟踪、记录、分类和报警。
4. 为遭到破坏的网络及信息系统的恢复提供技术性支持。
三、预警的复杂性
由于网络的危害行为是一系列很复杂的活动,特别是有预谋、有组织的网络入侵,因而有效的预警在技术实现上比较复杂并有一定的难度。
预警的复杂性表现在:
* 来源的识别;
* 企图的判定;
* 危害程度和潜在能力的判断;
* 网络技术的跟踪;
* 软件设计;
* 硬件的适应性。
根据我们的研究,以下三方面是亟待解决的问题。
1
2
3
下一页>>
