通过分析入侵检测系统和防火墙技术的各自优势,认为实现防火墙的数据过滤与入侵检测的实时监控间的有效互补
是非常重要的。提出了网络安全事件的基本分类方法, 定义出入侵检测系统提供给防火墙的信息格式, 采用向入侵检测系统和防火
墙中嵌入相关模块的方法, 实现了入侵检测系统对攻击行为的自动响应, 从而实现了防火墙与入侵检测系统间的协同工作。这样无
论是来自内网还是外网的攻击, 都可以被联动平台识别并自动响应。

　互联网的飞速发展、 网络技术的巨大进步给社会
生活各个方面带来了深刻影响,人们的工作生活与网
络系统紧密相关。网络系统已成为现代生活中不可或
缺的重要组成元素,同时病毒、 木马、 黑客攻击、 网上经
济犯罪、 垃圾电子邮件等各种网络安全威胁也伴随产
生,随时在浪费我们的时间、 破坏我们的网络信息系
统。 保护网络系统安全成为网络研究中一个重要话题。
网络安全的研究目标是通过各种安全防御技术以
及安全管理机制实现网络信息系统的完整性、 机密性
和可用性。 实现网络系统安全需要有两道防线: 安全保
护是第一道防线, 包括安全细则、 安全配制和各种安全
防御措施,采用的主要技术手段有信息加密、 防火墙、
安全路由器、 身份认证、 访问控制等。但这些技术仅在
防止非法入侵上有一定的效果,一个安全的信息系统
除了要采取防御措施之外, 还应有一定的实时监控、 攻
击与反攻击的能力。
入侵检测技术用于解决计算机网络系统的安全问
题,作为系统信息安全的第2 道防线,是防火墙的合理
补充,它能帮助系统对付网络攻击,扩展了系统管理员
的安全管理能力, 增强了信息系统的完整性。
1　入侵检测技术剖析
入侵检测系统是实现入侵检测功能的检测技术与
软件算法的结合体, 通过对计算机网络或计算机系统
中的若干关键点进行监控以收集行为特征信息, 并结
合已有的知识经验对行为进行分析判断, 从而发现网
络或系统中是否有违反安全策略的行为, 并依据事先
已定义好的响应方式做出响应处理。
在不同的网络环境和不同的系统安全策略下, 入
侵检测系统的具体实现也会有所不同。从功能逻辑来
讲,入侵检测系统通常包含 4 个部分: 行为模式库、 数
据采集模块、 入侵检测模块和响应处理模块。
¹ 行为模式库为入侵检测系统提供必要的数据信
息支持,是进行入侵检测的一个前提。º 数据采集模
块:主要负责从系统或网络关键点处捕获原始数据, 并
对采集到的数据做预处理工作,将最终的能够反映系
统或网络行为特征的数据提交给入侵检测模块。» 入
侵检测模块又称入侵分析引擎,负责从数据采集模块
处接受行为特征数据,并将行为特征数据与已有的模
式知识库进行模式匹配,以分析行为事件是否为非法
入侵, 最终的检测结果传递给响应模块作为其输入数
据。¼响应处理模块依据已经定义好的安全策略对行
为事件做出决策, 决定做何种响应动作,是进行日志记
录还是进行响应。
当有网络攻击发生且被入侵检测系统检测到后,
响应模块会依据相应的响应策略做出决策。如果需要
响应攻击,可以是主动响应或自动响应两种方式[ 1]
。 若
在网络环境中,有防火墙设备。 其作为进出内网的必要
通道,可以根据访问控制规则对外来访问进行拦截。 若
能实现入侵检测与防火墙间的联动, 由防火墙实现对
攻击者的拦截,将很大程度上提高响应的效率。
2　防火墙技术剖析
防火墙来自建筑结构的安全技术, 指在楼宇里起
分隔作用的墙。 在网络安全理论体系里,防火墙是一个
由软件和硬件设备组合而成, 位于内部网和外部网之
间、 专用网与公共网之间的一道防御系统, 目的是防止
外部网络用户未经授权的访问。 使用防火墙,使内部网
与外部网之间建立起一个安全网关, 能够保护内部网
免受非法用户的侵入[ 2]
。
防火墙是网络安全基础建设不可或缺的角色, 但
随着攻击技术的发展,当前的防火墙其自身的局限性
也越来越明显,主要体现在: ¹ 防火墙无法防范绕过防
火墙的攻击; º 防火墙不能防止来自内网的攻击; » 防