支持计算机取证的入侵检测系统的设计与实现

首先分析了入侵检测和计算机取证的概念，然后给出了一个支持计算机取证的网络入
侵检测系统的设计，最后对该系统的各关键模块做了简单的介绍。
关键词：入侵检测；计算机取证；预警；应急响应；安全日志
随着计算机应用的普及，计算机犯罪和其他犯罪的很多证据都以数字形式通过计算机或
网络进行存储和传输，从而出现了电子证据（Digital Evidences）。由于电子证据的特殊性，其获取、存储、传输和分析都需要特殊的技术手段和严格的程序，否则，难以保证证据的客观性、关联性和合法性。计算机取证学（Computer Forensics）作为法学、刑事侦查学和计算机科学的交叉学科，必然要从这些不同学科的角度及其相互关系等方面进行研究。美国十分重视计算机取证学的研究，至少有70%的法律部门拥有自己的计算机取证实验室[1]，经过资格认定的取证专家使用专门技术，通过网络或对从犯罪现场获取的计算机机器设备进行证据的提取和分析，目的在于提供非法活动的证据，并将这些证据提交给法庭，作为裁决的依据。近年来，我国计算机科学家和法学家也已经开始重视计算机证据这一特殊证据类型的研究，提出了一些法律观点并开发出了一些应用系统。我国政府也已经意识到了计算机证据的重要性。但是，到目前为止，我国还没有专门的取证机构，计算机取证人员的认证也没有实行，律师界对计算机证据的认识还很模糊和肤浅。因此，开展计算机取证技术的研究，对于计算机科学的发展、计算机取证法律法规的健全和计算机取证工作的规范化都具有十分重要的意义。
入侵检测系统（Intrusion Detection Systems）是安全网络体系中的一个关键性组件[2]，
对单个系统或网络系统中的恶意行为进行监控，对一个组织的信息系统所面临的威胁进行实时监控。如果不设置IDS，一个组织可能会被反复攻击并危及安全而毫无察觉。