第1章 綜述

信息化技術的飛速發展為人們的生活帶來了越來越多的便捷。但是一方面，互聯網互聯互通的開放性特性下極大地方便了各種互聯資源的聯網，開創和拓寬了共享資源途徑；另一方面，隨著人類在經濟、工業、軍事領域方面越來越多地依賴信息化管理和處理，卻由于信息網絡在設計上對安全問題的忽視，以及爆發性應用背后存在的使用和管理上的脫節，逐漸使互聯網中信息的安全性受到嚴重威脅。實用和安全的矛盾逐漸顯現，隨著越來越多重要的信息應用以互聯網作為運行基礎，信息安全問題已經成為威脅民生、社會，甚至國家安全的重要問題。

如何來發現信息安全問題、防范安全威脅呢？入侵檢測系統（IDS，Intrusion Detection System Product）應運而生。入侵檢測系統通過提供精簡的安全審計、入侵監測響應等功能，幫助系統安全管理員提高安全管理能力，使得系統安全管理員能夠提早察覺，甚至挖掘出入侵威脅，輔助其及時采取安全措施彌補信息安全中存在問題和不足，從而提高信息系統整體安全防范的能力，特別在入侵問題定位以及入侵行為取證方面具有良好的作用，對威脅信息安全的入侵者具有一定的威懾作用。

從入侵檢測系統實現形態上來看，它實際上是安全審計產品的一種重要的分支應用。它以網絡中及重要主機節點上收集和審計的信息為基礎，使用入侵檢測算法分析出其中存在的違反安全策略的入侵和異常行為跡象。這種精簡、突出的入侵檢測信息能夠大大降低系統安全管理員的管理成本，使他們能夠集中精力解決信息系統中最危險的安全問題。因此，選用正確的入侵檢測系統，對于提高整個信息系統架構的安全性，特別是復雜的多層結構信息系統的安全性，尤為重要。

本章首先對入侵檢測系統的必要性進行分析，簡要介紹入侵檢測系統的基本原理，并介紹主機型和網絡型入侵檢測系統的發展歷程。從宏觀上使讀者對入侵檢測系統有充分的認識，為后續章節介紹具體的技術細節打下基礎。

另外，入侵檢測系統的英文翻譯為Intrusion Detection System，產品直譯的意思為“入侵檢測系統”。原來為了表示同其他等級保護信息系統標準的不同，行業標準使用了中文的“產品”進行標準命名。之后，隨著系統標準同產品標準的區別越加明顯，在國家標準中使用了中文的“系統”對標準進行了命名。本書對兩種標準的命名方式都認可，因此在本書中“入侵檢測系統”和“入侵檢測系統產品”為同一個對象，不加以區別。