入侵检测系统原理和实践（1）

IDS:THEORY&PRACTICE
入侵检测系统：理论和实践
自从计算机以网络方式被连接开始，网络安全就成为一个重大问题，随着INTERNET的发展，安全系统的要求也与日俱增，其要求之一就是入侵检测系统。
本文旨在介绍几种常见的入侵检测系统及其理论和实践，需要指出的是，本文仅仅是一篇介绍性的文章,即使我推荐了许多可能的系统，在你相信其可靠性前，最好还是深入的研究一下他们。(NND,烦死我了,要敲4个字，以后我就简称ID得了。入侵检测系统就是IDS：-) )
一、什么是入侵检测。
入侵检测是指监视或者在可能的情况下，阻止入侵或者试图控制你的系统或者网络资源的那种努力。
简而言之，它的工作方式是这样的：你有台机器，被连接到网络上，也许就是被连到了INTERNET上，出于可以理解的原因,你也愿意为被授权者设置从网络上访问你的系统的许可。比如，你有以台连接到INTERNET上的WEB服务器，愿意让客户、职员和潜在客户可以访问存储在WEB服务器上的页面。
然而，你并不愿意那些未经授权的职员、顾客或者其他未经授权的第三方访问系统。比如，你不愿意除了公司雇佣的网页设计人员以外的人员可以修改储存在机器上的页面。典型的做法之一就是使用防火墙或者某种认证系统来防止未经授权的访问。
但是，在一些情况下，简单的使用防火墙或者认证系统也可以被攻破。入侵检测就是这样以种技术，它会对未经授权的连接企图作出反应，甚至可以抵御以部分可能的入侵。
那么，

二、为什么要使用ID呢？
以下给出了使用ID的理由：
（1）你需要保护自己的数据安全和系统，而事实是在现在的INTERNET环境下，如果你仅仅使用普通的密码和文件保护方式，你不可能永远保证你数据和系统的安全性。
（2）对于保护数据来说，没有什么比系统的安全更重要了，想就这么把你的机器连上INTETNET而不作任何防护，甚至连管理员密码都不设，就指望这台机器会太平无事，那简直是近乎于痴心妄想。同样，系统对核心文件或者授权数据库（比如NT的SAM和UNIX的/ETC/PASSWORD或者/ETC/SHADOW）的保护也是非常重要的。
（3）在通过局域网连接到INTERNET的环境下，经常会采用防火墙或者其他保护措施，如果在NT环境下，如果开放了文件共享，或者允许TELNET，这台机器就需要更好的保护，比如在防火墙中对137－139端口（属于TCP/UDP），SMB协议下的NT文件共享加以限制、使用SSH取代UNIX环境下的TELNET连接。
（4）ID还有进一步的作用，由于被放置在防火墙和被保护的系统之间，ID等于是在系统之上增加了以层保护。比如，通过ID对敏感端口的监测就可以判断防火墙是否已经被攻破，或者防护措施已经被灭了。