瑞星入侵检测系统RIDS-100

　　介绍

　　随着计算机网络的飞速发展，社会的信息化程度不断提高，网络在带来巨大的经济效益和社会效益的同时，也面临着日益严重的安全问题。对计算机网络的最大威胁是计算机病毒与黑客攻击。据权威统计，2001年全球计算机病毒与黑客攻击在全世界造成的经济损失高达数百亿美元。

　　入侵检测是继"防火墙"、"信息加密"等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的各种入侵行为。入侵检测系统就是自动执行这种监视和分析过程的软件或硬件产品。

　　RIDS-100入侵检测系统是由瑞星公司自主开发研制的新一代网络安全产品，它集网络监控、入侵检测、实时报警和主动防御功能于一身，为计算机网络提供全方位的保护，能最大限度地满足政府、企事业单位保护信息安全的需要。

　　系统结构

　　RIDS-100是一套基于网络的入侵检测系统，根据被保护网络的结构和规模的不同，设计有两种系统结构：二级结构和三级结构。

　　（1）二级结构

　　二级结构适用于保护拓扑结构较为简单的网络，系统由入侵检测引擎和管理控制台两部分组成。

　　（2）入侵检测引擎

　　入侵检测引擎为专用硬件设备，可以安装在标准机架上。其作用是：捕获网络中传输的数据，检测攻击并发出实时报警，保存检测到的信息供事后查询分析。

　　一个检测引擎可以保护一个网段。它的接入对被保护网络是透明的，不影响被保护网络的性能。

　　（3） 管理控制台

　　管理控制台是一套软件，可以安装在网络管理员的主机上（Windows 2000/NT操作系统）。它的作用是：对引擎进行配置管理，接受实时报警，查询引擎中的数据。

　　（4）三级结构

　　三级结构适用于保护大中型网络，它由入侵检测引擎、中心机和管理控制台三部分组成。

　　大中型网络的拓扑结构复杂，地域分布广，数据流量大，需要使用多个引擎才能对整个网络进行监控。对这种情况，RIDS-100专门增设了一台中心机，负责收集和保存各引擎检测到的数据，并进行二次分析，为管理员提供综合分析报告。管理员的指令也可以通过中心机自动下发到各引擎中去执行，提高了管理的效率。

　　主要功能

　　RIDS-100主要包含两大功能：网络监控和统计、入侵检测和报警。

　　网络监控和统计

　　RIDS-100时刻监视着网络中发生的每次连接，并将其忠实地记录到数据库中，供管理员查询和分析。

　　（1）实时监控

　　RIDS-100将内外网之间的连接情况实时地捕获下来，并以动态图形方式展现出来，使管理员能够时刻掌握当前内外网之间正在进行的连接和访问情况。它还实时分析出不同应用协议的网络流速，并以曲线图的形式展示最近两小时的流速变化，为网络管理和故障诊断提供了强有力的工具。

　　（2）网络统计

　　RIDS-100提供强大的网络统计功能，它可以从多个层面详细地统计和记录内外网的连接和流量情况，并可根据管理员的要求生成各种形式的统计分析报表。

　　（3）入侵检测和报警

　　RIDS-100实时捕获内外网之间传输的所有数据，运用协议分析和模式匹配方法，可以有效地识别各种网络攻击和异常现象，如拒绝服务攻击，非授权访问尝试，预攻击探测等；当攻击发生时，可根据管理员的配置以多种方式发出实时报警，如通知管理员主机、发送Email、通知防火墙等。对于严重的网络入侵事件，也可由入侵检测引擎直接发出阻断信号切断发生攻击的连接。