第1章 综述

信息化技术的飞速发展为人们的生活带来了越来越多的便捷。但是一方面，互联网互联互通的开放性特性下极大地方便了各种互联资源的联网，开创和拓宽了共享资源途径；另一方面，随着人类在经济、工业、军事领域方面越来越多地依赖信息化管理和处理，却由于信息网络在设计上对安全问题的忽视，以及爆发性应用背后存在的使用和管理上的脱节，逐渐使互联网中信息的安全性受到严重威胁。实用和安全的矛盾逐渐显现，随着越来越多重要的信息应用以互联网作为运行基础，信息安全问题已经成为威胁民生、社会，甚至国家安全的重要问题。

如何来发现信息安全问题、防范安全威胁呢？入侵检测系统（IDS，Intrusion Detection System Product）应运而生。入侵检测系统通过提供精简的安全审计、入侵监测响应等功能，帮助系统安全管理员提高安全管理能力，使得系统安全管理员能够提早察觉，甚至挖掘出入侵威胁，辅助其及时采取安全措施弥补信息安全中存在问题和不足，从而提高信息系统整体安全防范的能力，特别在入侵问题定位以及入侵行为取证方面具有良好的作用，对威胁信息安全的入侵者具有一定的威慑作用。

从入侵检测系统实现形态上来看，它实际上是安全审计产品的一种重要的分支应用。它以网络中及重要主机节点上收集和审计的信息为基础，使用入侵检测算法分析出其中存在的违反安全策略的入侵和异常行为迹象。这种精简、突出的入侵检测信息能够大大降低系统安全管理员的管理成本，使他们能够集中精力解决信息系统中最危险的安全问题。因此，选用正确的入侵检测系统，对于提高整个信息系统架构的安全性，特别是复杂的多层结构信息系统的安全性，尤为重要。

本章首先对入侵检测系统的必要性进行分析，简要介绍入侵检测系统的基本原理，并介绍主机型和网络型入侵检测系统的发展历程。从宏观上使读者对入侵检测系统有充分的认识，为后续章节介绍具体的技术细节打下基础。

另外，入侵检测系统的英文翻译为Intrusion Detection System，产品直译的意思为“入侵检测系统”。原来为了表示同其他等级保护信息系统标准的不同，行业标准使用了中文的“产品”进行标准命名。之后，随着系统标准同产品标准的区别越加明显，在国家标准中使用了中文的“系统”对标准进行了命名。本书对两种标准的命名方式都认可，因此在本书中“入侵检测系统”和“入侵检测系统产品”为同一个对象，不加以区别。