主干网汇聚了各个驻地网的流量，因此网络安全监测要同时考虑“开源”和“节流”两个方面。

入侵检测与安全监测

　　网络入侵检测（Intrusion Detection）是网络安全防御的重要手段，相关的概念、方法和技术在不断的进步，至今仍然是网络安全领域的热点问题，还没有获得完全令人满意的解决。网络安全监测则是近年来从网络入侵检测研究中衍生出来的一个新研究方向，它与网络入侵检测在概念和方法上有不少共同之处，但在目的上有很大差别。

　　抽象地说，入侵检测是对于违反安全策略的访问行为的感知，即IDS将入侵理解为是对安全策略的违反。网络安全策略通常反映的是用户的利益要求，尽管会存在公共的网络安全策略，但它们本质上是面向管理域（组织机构）或个人的，是个性化的。

　　例如，在Snort官方规则库里的约2200条规则中，策略性规则数约占用规则总数的15%左右，它将P2P流量的检测也纳入观察范围，但显然并非所有的安全管理员都将P2P流量理解为安全问题。由于这些安全策略并不具有通用性，用户在使用Snort规则时往往需要进行裁剪，以减少误报和提高处理效率。这意味着，IDS的使用应当尽量靠近用户，越靠末端可获得的细节越多，安全策略越明确，检测效果越好。至少从直觉看，HIDS（例如安置在个人电脑中的防病毒软件）的效果是好于NIDS（例如设置在校园网边界的IDS）的。

　　网络安全监测是对于网络安全威胁的感知，关注的是威胁类型及其传播速度与范围。从对威胁识别的角度看，它使用与IDS类似的检测技术，包括滥用检测技术和异常检测技术，以及基于主机和基于网络的检测方法。但从检测结果及其后处理的要求看，则它需要使用与IDS不同的实现模型。网络安全监测需要同时覆盖尽可能多的网络流量信息，因此在使用上应当尽量靠近主干网。

　　进入本世纪以来，互联网中恶意代码产生的安全威胁越来越大，严重影响了关键基础设施的可靠性和可用性。早期的恶意代码具有较明显的流量特征，因此比较容易检测。但是近年来恶意代码的传播技术逐渐完善，并逐渐呈现出以下特征：

　　攻击越来越全球化，不再受网络拓扑和地理位置的约束；

　　攻击无孔不入，只要存在安全漏洞，任何联网的系统都可能被攻击或被利用；

　　攻击持续进化，导致网络攻击和网络监测之间的军备竞赛；

　　攻击传播的速度也在加快，人工响应越来越不可行。

　　早期的网络蠕虫正在向僵尸网络转化，具备了不同的暗网络结构。这些恶意代码组成的暗网络潜伏在开放的互联网中，可受控地进行信息窃取、垃圾邮件扩散和服务阻断攻击，隐蔽性和威胁性日益增加。这种威胁与互联网早期的那种基于黑客的手动攻击威胁不同，威胁源的数量和目标数量都大为增加。针对这种威胁，入侵检测技术存在一些局限性，不能有效地解决问题。部署在接入网内或端系统中的IDS是孤立的，只能检测并消除这种威胁的个别实例，无法获得对威胁的全面了解和有效抑制能力。即使进行IDS的协同处理，由于管理域的限制和实现技术的差别，IDS的广泛部署与协同仍然缺乏可操作性。如果直接将IDS部署在主干网，则传统的入侵检测技术在性能、功能和环境信息的可用性等方面都存在不适应性。因此，需要使用网络安全监测技术来实现对这种基于暗网络结构的网络安全威胁的检测和评估，以及时向用户提供相关安全信息，实现对其进行有效的抑制和消除，所以面向大规模主干网络的安全监测技术正在成为网络安全领域的新热点。