7.1.1 历史背景和现状

作者: 刘宝旭 蒋文保 王晓箴编著 出处:电子工业出版社博文视点 　2008-05-28 14:35　   砖    好    评论  条 　进入论坛

阅读提示：《黑客入侵的主动防御》第三章主要讲的是网络监控，本节说的是网络监控技术的历史背景和现状。

第7章 网络监控

7.1  网络监控技术概述

7.1.1  历史背景和现状

网络监控系统是网络安全系统的一个重要的组成部分，它是对其他的网络安全技术的重要的补充。网络监控系统不仅仅只是对于网络上的通信进行被动的协议分析和恢复，而且它可以根据一定的规则对于这些信息进行有选择的选取，再进行协议分析和恢复，以缩小处理数据的范围；网络监控系统可以将恢复的信息显示给系统管理人员，以供对于信息的更加详细的人为判断；网络监控系统可以从防火墙或入侵检测系统那里获取可疑的计算机的信息（一般为IP地址或是MAC地址），有针对性地对这样的可疑计算机进行监视和记录；网络将监控系统记录下来的信息可以作为司法的调查的证据，因此人们有时候也称“网络监控系统”为“网络取证系统”。

总之，监控系统的存在使具有一定的特权的网络管理人员对于网络上出现的违法，或破坏行为更加一目了然，这种应用从某种程度上对于一些利用网络从事非法活动的人起到了一定的威慑的作用，提高了网络的安全性。

在计算机入侵检测领域方面，一般的IDS系统都重点关注对计算机的攻击和明显的异常行为，但是这远远不够，要真正地降低入侵成功的概率，还应包括基本的网络监控与通信分析功能。网络监控用于收集连接信息，通信分析用于查明网络上运行的服务并与期望值进行对比，二者相结合有助于未经授权的服务以及网络防御中的薄弱环节，再加上其他计算机入侵侦测手段，一套良好的、完整的安全防御体系便可迅速建立起来。本章对网络监控和通信分析进行探讨。

目前世界上的许多国家都具有自己的网络监控工具。一些国家对于该工具是用而不宣，一些国家则以法律的形式来强行推广这种网络安全工具在其国家网络安全建设中的运用。比如，1998年荷兰政府出台一项法律，要求所有的电信公司必须安装“网络警察”监控设备，以便对于网络上的可能的罪犯进行监视，荷兰司法部要求各个互联网的服务商最迟在2001年的4月将该设备安装到位，这些设备将把所有有关的数据分发，破译和传输给荷兰司法部门。

目前，一些一直致力于入侵检测系统开发的公司也将网络监控作为入侵检测系统的一个有用的辅助功能而进行开发。

回书目   上一节   下一节