網路系統層次安全技術

a）沒有地域和時間的限制，跨越國界的攻擊就如同在現場一樣方便；

b）通過網路的攻擊往往混雜在大量正常的網路的活動之中，隱蔽性強；

c）入侵手段更加隱蔽和複雜。

計算機網路系統開放式環境面臨的威脅主要有以下幾種類型：(a)欺騙（Masquerade）；(b)重發(Replay)；(c)報文修改(Modification of message)；(d)拒絕服務(Deny of service)；(e)陷阱門(Trapdoor)；(f)特洛伊木馬(Trojan horse)；(g)攻擊如透納攻擊（Tunneling Attack）、套用軟體攻擊等。這些安全威脅是無時、無處不在的，因此必須採取有效的措施來保障系統的安全。

從技術角度講，網路系統層次的安全防範技術有很多種，大致可以分為防火牆、入侵檢測、協作式入侵檢測技術等。

防火牆是套用最廣泛的一種防範技術。作為系統的第一道防線，其主要作用是監控可信任網路和不可信任網路之間的訪問通道，可在內部與外部網路之間形成一道防護屏障，攔截來自外部的非法訪問並阻止內部信息的外泄，但它無法阻攔來自網路內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出，但無法動態識別或自適應地調整規則，因而其智慧型化程度很有限。防火牆技術主要有三種：數據包過濾器(packet filter)、代理(proxy)和狀態分析(stateful inspection)。現代防火牆產品通常混合使用這幾種技術。

入侵檢測(IDS-- Instrusion Detection System)是近年來發展起來的一種防範技術，綜合採用了統計技術、規則方法、網路通信技術、人工智慧、密碼學、推理等技術和方法，其作用是監控網路和計算機系統是否出現被入侵或濫用的徵兆。1987年，Derothy Denning首次提出了一種檢測入侵的思想，經過不斷發展和完善，作為監控和識別攻擊的標準解決方案，IDS系統已經成為安全防禦系統的重要組成部分。

獨立的入侵監測系統不能夠對廣泛發生的各種入侵活動都做出有效的監測和反應，為了彌補獨立運作的不足，人們提出了協作式入侵監測系統的想法。在協作式入侵監測系統中，IDS基於一種統一的規範，入侵監測組件之間自動地交換信息，並且通過信息的交換得到了對入侵的有效監測，這樣就可以套用於不同的網路環境。

入侵檢測採用的分析技術可分為三大類：簽名、統計和數據完整性分析法。

主要用來監測對系統的已知弱點進行攻擊的行為。人們從攻擊模式中歸納出它的簽名，編寫到IDS系統的代碼里。簽名分析實際上是一種模板匹配操作。

以統計學為理論基礎，以系統正常使用情況下觀察到的動作模式為依據來判別某個動作是否偏離了正常軌道。

以密碼學為理論基礎，可以查證檔案或者對象是否被別人修改過。

IDS的種類包括基於網路和基於主機的入侵監測系統、基於特徵的和基於非正常的入侵監測系統、實時和非實時的入侵監測系統等。