可以在该网络和之间插入个中介系统，竖起道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的唯关卡。这种中介系统也叫做防火墙或防火墙系统。防火墙就是种由软件硬件构成的系统，用来在两个网络之间实施存取控制策略。图是防火墙在互连的网络中的位臵。尽管防火墙有各种不同的类型,但所有的防火墙都有个共同的特征基于源地址基础上的区分和拒绝些访问的能力般都将防火墙内的网络称为可信赖的网络,而将外部的称为不可信赖的网络防火墙不可信赖的网络可信赖的网络图防火墙在互连网络中的位臵防火墙是近期发展起来的种保护计算机网络安全的技术性措施，它是个用以阻止网络中的黑客访问个机构网络的屏障，也可称之为控制进出个方向通信的门槛。个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是个多端口的路由器，它通过对每个到来的包依据组规则进行检查来判断是否对之进行转分组过滤分组过滤路由器应用网关路由器内联网因特网发。代理服务器是防火墙系统中的个服务器进程，它能够代替网络用户完成特定的功能。个代理服务器本质上是个应用层的网关，个为特定网络应用而连接个网络的网关。和对防火墙的定义为，防火墙是个由多个部件组成的集合或系统，它被放臵在两个网络之间，并具有以下特性所有的从内部到外部或从外部到内部的通信都必须经过它。只有有内部访问策略授权的通信才被允许通过。系统本身具有高可靠性。换句话说，防火墙臵于内部可信网络和外部不可信网络之间，作为个阻塞点来监视和抛弃应用层的流量以及传输层和网络层的数据包。防火墙的确是种重要的新型安全措施。防火墙在概念上非常简单,它可以分为基于过滤器和基于代理的两大类设备之。目前的防火墙主要有包过滤防火墙代理防火墙种类型，并在计算机网络得到了广泛的应用。包过滤防火墙，包过滤技术是根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则相匹配，从而决定数据包能否通过，它的特点是开销小，速度快，缺点是定义数据包过滤器比较复杂，且不能理解特定服务的上下文环境。代理防火墙应用层防火墙，代理防火墙采用代理技术与连接的全过程，这样从内部发出的数据包经过防火墙处理后，就象来自于防火墙外部网卡样，从而达到隐藏内部网结构的目的。其核心技术就是代理服务器技术，特点是安全性很高，缺点是对于每个中断的服务，都需要提供相应的代理程序，且对于计算机的性能有定的要求。但是，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来个程序在本地运行，那个程序很可能就包含段恶意的代码，或泄露敏感信息，或对之进行破坏。防火墙的另个缺点是很少有防火墙制造商推出简便易用的监狱看守型的防火墙，大多数的产品还停留在需要网络管理员手工建立的水平上。因此有必要将它们融合，构成了个典型的防火墙系统。入侵检测系统入侵检测系统的定义入侵检测最早是由于年提出来的，其定义是潜在的有预谋的未经授权的访问信息和操作信息,致使系统不可靠或无法使用的企图。从该定义可以看出，入侵检测对安全保护采取的是种积极主动的防御策略，而传统的安全技术都是些消极被动的保护措施。因为，如果入侵者旦攻破了由传统安全技术所设臵的保护屏障，这些技术将完全失去作用，对系统不再提供保护，而入侵者则对系统可以进行肆无忌惮的操作，当然包括些很具有破坏的操作。对于这些，传统的安全技术是无能为力的。但是入侵检测技术则不同，它对进入系统的访问者包括入侵者能进行实时的监视和检测，旦发现访问者对系统进行非法的操作这时访问者成为了入侵者，就会向系统管理员发出警报或者自动截断与入侵者的连接，这样就会大大提高系统的安全性。所以对入侵检测技术研究是非常必要的，并且它也是种全新理念的网络系统防护技术。图为入侵检测般过程示意图，箭头所指方向为流程方向。输入过程包括用户或者安全管理人员定义实现上，规则的选择与更新可能不尽相同，但般地，行为特征模块执行基于行为的检测，而规则模块执行基于知识的检测。根据入侵检测模型，入侵检测系统的原理可以分为如下两种异常检测原理该原理指的是根据非正常行为系统或用户和使用计算机资源非正常情况检测出入侵行为，如图所示命令系统调用应用类型活动度量使用网络连接图异常检测原理模型从图可以看出，异常检测原理根据假设攻击与正常的合法的活动有很大的差异来识别攻击。异常检测首先收集段时期正常操作活动的历史记录，再建立代表用户主机或网络连接的正常行为轮廓，然后收集事件数据并使用些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式。异常检测技术即假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常检测技术的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可正常行为异常行为疑。异常检测技术的局限是并非所有的入侵都表现为异常,而且系统的轨迹难以计算和更新。异常检测技术的核心是建立行为模型，目前主要是由以下几种方法统计分析异常检测。贝叶斯推理异常检测。神经网络异常检测。模式预测异常检测。数据采掘异常检测。机器学习异常检测。误用检测原理该原理是指根据已经知道的入侵检测方式来检测入侵。入侵者常常利用系统或应用软件中的弱点或漏洞来攻击系统而这些弱点或漏洞可以编成些模式，如果入侵者攻击方式恰好匹配上检测系统模式库中的种方式，则入侵即被检测到了。如图所示匹配模式库攻击者报警图误用检测模型模式检测技术即假定所有入侵行为和手段及其变种都能够表达为种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分开来。模式检测技术优点是检测的准确度很高,并且因为检测结果有明显的参照,也为系统管理员做出相应的措施提供了方便。局限是它只能发现已知的攻击,对未知的攻击无能为力。误用检测技术主要分为以下几种专家系统误用检测。特征分析误用检测。模型推理误用检测。条件概率误用检测。键盘监控误用检测。入侵检测的研究动态从分类上看，入侵检测系统可以分为基于网络的检测系统分布在网络上或者是设臵在被监视的主机附近，检查网络通信情况以及分析是否有异常活动，它能提供网段的整个信息，由于要检测整个网段的流量，所以，它处理的信息量很大，易受到拒绝服务攻击攻击。基于网络的入侵检测系统把原始的网络数据作为数据源。它是利用网络适配器来实时的监测,并分析通过网络进行传输的所有通信业务。旦检测到攻击,的响应模块通过通知报警以及中断连接等方式来对攻击行为作出反应。基于网络的入侵检测系统的主要优点是成本低攻击者转移证据困难定时的检测和响应④能够检测到未成功的攻击企图操作系统。基于主机的检测系统在被监视的主机上运行，检查这些主机上的对外流量，文件系统的完整性及各种活动是否合法以及是否可以接受，它能给主机提供较高程度的保护，但每台受保护主机都需要安装相应的软件，且不能提供网段的整体信息。基于主机的入侵检测系统般以系统日志应用程序日志等审计记录文件作为数据源旦发现数据发生变化,就将比较新的日志记录与攻击签名是否匹配。若匹配,就向各系统管理员发出入侵报警并采取相应的行动。基于主机的入侵检测系统具有的主要优点是非常适合于加密和交换环境近实时的检测和应答不需要格外的硬件。由此看出，两种入侵检测系统各有优缺点，只有把他们有机的结合，才能取长补短，充分发挥各自的优势，因此，文章在参考了有关资料后，提出了个分布式入侵检测系统的实现方案，这在该文的后面有较为详细的说明。从技术上看，入侵检测又分为基于标识和基于异常情况的两类。对于基于标识的检测技术来说，首先要定义违背安全策略的事件特征，如网络数据包的些头信息，判别这类特征是否在所收集的数据中出现。此方法非常类似杀毒软件，因此，它能较为准确地发现入侵，误报率低，缺点是只能发现已知的攻击和入侵，且标识库需要不断的更新。基于异常的检测技术则是先定义组系统正常情况的数值，如的利用率，内存利用率，文件校验等这类数据可以人为定义，也可以通过观察系统，并用统计的方法得出，然后将系统运行的数值与所定义的正常情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。它的特点是对已知和未知的攻击都有定的检测能力，缺点是误报率高。入侵检测很大程度上依赖于收集信息的可靠性和正确性。通常个完整的入侵检测技术需要利用的数据或文件来自于以下个方面系统和网络日志文件黑客经常在系统日志中留下他们的踪迹。因此，充分利用系统和网络日志文件信息是检测入侵行为轨迹的首要条件。日志中记录着在系统或网络上的不寻常和不期望活动的证据，这些证据可以显示出有人正在入侵或己成功入侵该系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客关注或试图破坏的目标。目录和文件中的不期望的改变包括修改创建和删除，特别是那些正常情况下限制访问的数据，很可能就是种入侵产生的标志和信号。程序执行中的不期望行为网络系统上的程序执行般包括操作系统网络服务用户启动的程序和特定目的的应用，每个系统上的执行程序由到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源程序和数据文件等。因此，操作执行的方式不同，调用系统资源的方式也就不同。个进程出现了不期望的行为，可能预示着有黑客正在入侵系统。物理形式的入侵信息这包括两个方面的内容，是未经授权的对网络硬件的连接二是对物理资源的未授权访问非法访问。黑客会想方设法的突破网络周边的防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件。因此，黑客就可以知道网上的由用户加上去的不安全未授权设备，然后利用这些设备访问网络。信息及综合决策系统介绍信息及综合决策系统是数据库及基于数据库的信息处理系统的结合，是整个系统的信息汇总点，也是综合信息的处理机构。项目产品的关键技术内容由前面的论述可以看出，任何单的安全部件都只能实现定程度的安全，任何单层次的结构所保障的安全也都是极其有限的，