打造Linux安全堡垒入侵检测与预警

　　预警的复杂性表现在：

　　* 来源的识别；

　　* 企图的判定；

　　* 危害程度和潜在能力的判断；

　　* 网络技术的跟踪；

　　* 软件设计；

　　* 硬件的适应性。

　　根据我们的研究，以下三方面是亟待解决的问题。

　　1.入侵技术在不断发展

　　网络预警技术以网络攻击技术研究为依托，通过跟踪入侵技术的发展，增强入侵检测能力。入侵方法涉及到操作系统方方面面的漏洞，如系统设计缺陷、编码缺陷、系统配置缺陷、运行管理缺陷，甚至系统中预留的后门等。在Internet上有大量的黑客站点，发布大量系统漏洞资料和探讨攻击方法。全世界的黑客都可以利用这些共享资源来进行攻击方法的研究与传播，使得新的攻击方法能够以最快的速度成为现实的入侵武器。更为令人担忧的是有组织的活动，国外已将信息战手段同核武器、生化武器并列在一起，作为战略威慑加以讨论，破坏者所具备的能力，对我们而言仍是一个很大的未知数。

　　入侵技术的发展给预警造成了很大的困难，特别是对基于入侵模式识别的预警系统。预先了解所有可能的入侵方法比较困难，因此一个有效的预警系统不仅需要识别已知的入侵模式，还要有能力对付未知的入侵模式。网络预警技术亦步亦趋地紧跟在已识别的入侵模式之后固然能够大大加强网络的安全防范，但这并不是唯一的发展方向。入侵检测技术从监测网络的异常活动和网络的正常活动两个角度来进行入侵检测则会更为有效。同时预警系统应有一定的学习能力，智能化地校正误警和漏警，提高预警的准确性。

　　2.入侵活动可以具有很大的时间跨度和空间跨度

　　有预谋的入侵活动往往有较周密的策划、试探性和技术性准备，一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别完成，给预警带来困难。一个检测模型总会有一个有限的时间窗口，从而忽略滑出时间窗口的某些事实。同时，检测模型对于在较大空间范围内发生的异常现象的综合、联想能力也是有限的。