第3章 入侵檢測技術(shù)的分類

1、第第3章章 入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類 3.1 入侵檢測的信息源入侵檢測的信息源 3.2 分類方法分類方法 3.3 具體的入侵檢測系統(tǒng)具體的入侵檢測系統(tǒng) 3.1 入侵檢測的信息源入侵檢測的信息源 入侵檢測的基本問題 如何充分、可靠地提取描述行為特征的數(shù)據(jù)； 如何根據(jù)特征數(shù)據(jù)，高效、準(zhǔn)確地判斷行為的 性質(zhì)； 數(shù)據(jù)源類型數(shù)據(jù)源類型 數(shù)據(jù)來源可分為四類：數(shù)據(jù)來源可分為四類： 來自主機的來自主機的 基于主機的監(jiān)測收集通常在操作系統(tǒng)層的來自計算機內(nèi)部的數(shù)基于主機的監(jiān)測收集通常在操作系統(tǒng)層的來自計算機內(nèi)部的數(shù) 據(jù)，包括操作系統(tǒng)審計跟蹤信息和系統(tǒng)日志據(jù)，包括操作系統(tǒng)審計跟蹤信息和系統(tǒng)日志 來自網(wǎng)絡(luò)

2、的來自網(wǎng)絡(luò)的 檢測收集網(wǎng)絡(luò)的數(shù)據(jù)檢測收集網(wǎng)絡(luò)的數(shù)據(jù) 來自應(yīng)用程序的來自應(yīng)用程序的 監(jiān)測收集來自運行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日監(jiān)測收集來自運行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日 志和其它存儲在應(yīng)用程序內(nèi)部的數(shù)據(jù)志和其它存儲在應(yīng)用程序內(nèi)部的數(shù)據(jù) 來自目標(biāo)機的來自目標(biāo)機的 使用散列函數(shù)來檢測對系統(tǒng)對象的修改。使用散列函數(shù)來檢測對系統(tǒng)對象的修改。 4 審計記錄審計記錄 由審計子系統(tǒng)產(chǎn)生；由審計子系統(tǒng)產(chǎn)生； 用于反映系統(tǒng)活動的信息集合；用于反映系統(tǒng)活動的信息集合； 將這些信息按照時間順序組織成為一個或?qū)⑦@些信息按照時間順序組織成為一個或 多個審計文件；多個審計文件； 遵循美國可信計算機安

3、全評價標(biāo)準(zhǔn)遵循美國可信計算機安全評價標(biāo)準(zhǔn) （TCSEC）；）； 5 審計記錄的優(yōu)點審計記錄的優(yōu)點 可信度高可信度高 得益于操作系統(tǒng)的保護得益于操作系統(tǒng)的保護 審計記錄沒有經(jīng)過高層的抽象審計記錄沒有經(jīng)過高層的抽象 最最“原始原始”的信息來源的信息來源 了解系統(tǒng)事件的細節(jié)了解系統(tǒng)事件的細節(jié) 不易被篡改和破壞不易被篡改和破壞 審計記錄的缺點審計記錄的缺點 不同的系統(tǒng)在審計事件的選擇、審計記錄不同的系統(tǒng)在審計事件的選擇、審計記錄 的選擇和內(nèi)容組織等諸多方面都存在著兼的選擇和內(nèi)容組織等諸多方面都存在著兼 容性的問題。容性的問題。 另外一個存在的問題是，操作系統(tǒng)審計機另外一個存在的問題是，操作系統(tǒng)審計機

4、制的設(shè)計和開發(fā)的初始目標(biāo)，并不是為了制的設(shè)計和開發(fā)的初始目標(biāo)，并不是為了 滿足后來才出現(xiàn)的入侵檢測技術(shù)的需求目滿足后來才出現(xiàn)的入侵檢測技術(shù)的需求目 的。的。 7 審計記錄內(nèi)容審計記錄內(nèi)容 響應(yīng)事件的主體和涉及事件的目標(biāo)信息響應(yīng)事件的主體和涉及事件的目標(biāo)信息 主體主體 對象對象 進程進程 用戶用戶id 系統(tǒng)調(diào)用的參數(shù)系統(tǒng)調(diào)用的參數(shù) 返回值返回值 特定應(yīng)用事件的數(shù)據(jù)特定應(yīng)用事件的數(shù)據(jù) 1. Sun Solaris BSM Sun公司的公司的Solaris操作系統(tǒng)是目前流行的服務(wù)器操作系統(tǒng)是目前流行的服務(wù)器 UNIX操作系統(tǒng)。操作系統(tǒng)。 BSM安全審計子系統(tǒng)的主要概念包括審計日志、安全審計子系統(tǒng)的主

5、要概念包括審計日志、 審計文件、審計記錄和審計令牌等，其中審計日審計文件、審計記錄和審計令牌等，其中審計日 志由一個或多個審計文件組成，每個審計文件包志由一個或多個審計文件組成，每個審計文件包 含多個審計記錄，而每個審計記錄則由一組審計含多個審計記錄，而每個審計記錄則由一組審計 令牌（令牌（audit token）構(gòu)成。）構(gòu)成。 圖圖3-1所示為所示為BSM審計記錄的格式。審計記錄的格式。 每個審計令牌包括若干字段，如圖每個審計令牌包括若干字段，如圖3-2所示。所示。 圖圖3-1 BSM審計記錄格式審計記錄格式 Header* Process* Argumnet* Attribute* Dat

6、a In_addr Ip Ipc_perm Ipc Iport Path* Text Groups Opaque Return* Trailer 首令牌字段首令牌字段 審計進程信息審計進程信息 系統(tǒng)調(diào)用參數(shù)信息系統(tǒng)調(diào)用參數(shù)信息 屬性信息屬性信息 當(dāng)前根目錄、工作目錄及其絕對路徑當(dāng)前根目錄、工作目錄及其絕對路徑 請求（系統(tǒng)調(diào)用）返回值請求（系統(tǒng)調(diào)用）返回值 圖圖3-2 BSM審計令牌格式審計令牌格式 Header Token token ID record size event type * time of queue * Process Token token ID audit ID * us

7、er ID * feal user ID real group ID* process ID* Argument Token token ID argument ID argument value * string length text Return Token token ID user error return value * Trailer Token token ID magic number record size Path Token token ID size of root current root size of dir current dir size of path p

8、ath argument * Attribute Token token ID vnode mode * vnode uid * vnode gid * vnode fsid * vnode nodeid * vnode rdev * Windows日志監(jiān)測 1Windows日志 Windows中也一樣使用中也一樣使用“事件查看器事件查看器”來管來管 理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進 入系統(tǒng)后方可進行操作，如圖所示。入系統(tǒng)后方可進行操作，如圖所示。 圖3-5 事件屬性信息 通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、通常有應(yīng)用程序日志，安全日志、系統(tǒng)

9、日志、 DNS服務(wù)器日志、服務(wù)器日志、FTP日志、日志、WWW日志等等，日志等等， 可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變 化。啟動化。啟動Windows時，事件日志服務(wù)會自動時，事件日志服務(wù)會自動 啟動，所有用戶都可以查看啟動，所有用戶都可以查看“應(yīng)用程序日志應(yīng)用程序日志”， 但是只有系統(tǒng)管理員才能訪問但是只有系統(tǒng)管理員才能訪問“安全日志安全日志”和和 “系統(tǒng)日志系統(tǒng)日志”。 應(yīng)用程序日志、安全日志、系統(tǒng)日志、應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日日 志 默 認 位 置 ：志 默 認 位 置 ： % s y s t e m r o o t % s

10、 y s tem32config，默認文件大小，默認文件大小512KB，但有經(jīng)，但有經(jīng) 驗的系統(tǒng)管理員往往都會改變這個默認大小。驗的系統(tǒng)管理員往往都會改變這個默認大小。 安全日志文件：安全日志文件： c:systemrootsystem32configSecEvent.EVT 系統(tǒng)日志文件：系統(tǒng)日志文件： c:systemrootsys tem32configSysEvent.EVT 應(yīng)用程序日志文件：應(yīng)用程序日志文件： c:systemrootsys tem32configAppEvent.EVT I n t e r n e t 信 息 服 務(wù)信 息 服 務(wù) F T P 日 志 默 認 位

11、置 ：日 志 默 認 位 置 ： c:systemrootsys tem32logfilesmsftpsvc1。 I n t e r n e t 信 息 服 務(wù)信 息 服 務(wù) W W W 日 志 默 認 位 置 ：日 志 默 認 位 置 ： c:systemrootsystem32logfilesw3svc1。 17 系統(tǒng)日志系統(tǒng)日志 系統(tǒng)日志是反映各種系統(tǒng)事件和設(shè)置的文件； Unix系統(tǒng)提供了分類齊全的系統(tǒng)日志，如登 錄日志、進程統(tǒng)計日志； 18 系系統(tǒng)統(tǒng)日日志志 審審計計記記錄錄 運運行行方方式式 應(yīng)用程序 操作系統(tǒng)子系統(tǒng) 存存儲儲目目錄錄 未受保護 受系統(tǒng)保護 存存儲儲格格式式 文本 帶

12、加密和校驗 安全性對比安全性對比 系統(tǒng)使用日志機制記錄下主機上發(fā)生的事情，系統(tǒng)使用日志機制記錄下主機上發(fā)生的事情， 系統(tǒng)日志的安全性與操作系統(tǒng)的審計記錄比較系統(tǒng)日志的安全性與操作系統(tǒng)的審計記錄比較 而言，要差一些，其原因如下：而言，要差一些，其原因如下： 產(chǎn)生系統(tǒng)日志的軟件通常是在內(nèi)核外運行產(chǎn)生系統(tǒng)日志的軟件通常是在內(nèi)核外運行 的應(yīng)用程序，因而這些軟件容易受到惡意的修的應(yīng)用程序，因而這些軟件容易受到惡意的修 改或攻擊。改或攻擊。 系統(tǒng)日志通常是存儲在普通的不受保護的系統(tǒng)日志通常是存儲在普通的不受保護的 文件目錄里，容易受到惡意的篡改和刪除等操文件目錄里，容易受到惡意的篡改和刪除等操 作。作。

13、3.1.2 系統(tǒng)日志系統(tǒng)日志 盡管如此，系統(tǒng)日志仍然以其簡單易讀、容易處理等優(yōu)盡管如此，系統(tǒng)日志仍然以其簡單易讀、容易處理等優(yōu) 勢成為入侵檢測的一個重要輸入數(shù)據(jù)源。勢成為入侵檢測的一個重要輸入數(shù)據(jù)源。 UNIX操作系統(tǒng)的主要日志文件可以分成操作系統(tǒng)的主要日志文件可以分成3類：類： 登錄登錄日志日志文件，寫入到文件，寫入到/var/log/wtmp和和 /var/run/utmp，系統(tǒng)程序負責(zé)更新，系統(tǒng)程序負責(zé)更新wtmp和和utmp文件，文件， 使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。 進程日志，由系統(tǒng)內(nèi)核生成。當(dāng)一個進程終止時，系進程日志，由系統(tǒng)內(nèi)核生

14、成。當(dāng)一個進程終止時，系 統(tǒng)內(nèi)核為每個進程在進程日志文件（統(tǒng)內(nèi)核為每個進程在進程日志文件（pacct或或acct）中）中 寫入一條記錄。寫入一條記錄。 syslogd日志，由日志，由syslogd生成并維護。各種系統(tǒng)守生成并維護。各種系統(tǒng)守 護進程、內(nèi)核、模塊使用護進程、內(nèi)核、模塊使用syslogd記錄下自己發(fā)出的消記錄下自己發(fā)出的消 息。息。 21 3.1.3 應(yīng)用程序日志應(yīng)用程序日志 應(yīng)用日志通常代表了系統(tǒng)活動的用戶級抽應(yīng)用日志通常代表了系統(tǒng)活動的用戶級抽 象信息，相對于系統(tǒng)級的安全數(shù)據(jù)來說，象信息，相對于系統(tǒng)級的安全數(shù)據(jù)來說， 去除了大量的冗余信息，更易于管理員瀏去除了大量的冗余信息，更

15、易于管理員瀏 覽和理解。覽和理解。 但是由于缺乏系統(tǒng)保護，因但是由于缺乏系統(tǒng)保護，因 此也存在風(fēng)險，存在可信度的問題。此也存在風(fēng)險，存在可信度的問題。 典型的有：典型的有： WWW Server日志日志 數(shù)據(jù)庫系統(tǒng)日志數(shù)據(jù)庫系統(tǒng)日志 22 WWW Server日志日志 通用日志格式（通用日志格式（CLF） -user1 27/Nov/2000:10:00:00 +0600 “GET /page1/HTTP 1.0” 200 1893 字段字段格式格式 訪問者主機名訪問者主機名“H” rfc931 服務(wù)器返回給訪問用戶的信息；如果不存在，為服務(wù)器返回給訪問用戶的信息；如果不存在，為- 用戶名（如

16、果用戶提交了用于認證的用戶名（如果用戶提交了用于認證的ID） UserID 請求日期及時間（包括時區(qū)信息）請求日期及時間（包括時區(qū)信息）DD/MMM/YYYY:HH:MM:SS+TimeZone 請求的頁面及服務(wù)器使用的頁面通信協(xié)議請求的頁面及服務(wù)器使用的頁面通信協(xié)議 “GET ” 請求的返回碼（請求的返回碼（200代表成功）代表成功）NNN，如果沒有則以，如果沒有則以“-”表示表示 返回的字節(jié)數(shù)返回的字節(jié)數(shù)NNNNN，如果沒有則以，如果沒有則以“-”表示表示 23 WWW Server日志日志 擴展日志文件格式擴展日志文件格式 字段字段格式格式 訪問者主機名訪問者主機名“H” rfc931由

17、由identd返回的該用戶信息返回的該用戶信息 用戶名（如果用戶提交了用于認證的用戶名（如果用戶提交了用于認證的ID）UserID 請求日期及時間（包括時區(qū)信息）請求日期及時間（包括時區(qū)信息）DD/MMM/YYYY:HH:MM:SS+TimeZone 請求的頁面及服務(wù)器使用的頁面通信協(xié)議請求的頁面及服務(wù)器使用的頁面通信協(xié)議“GET ” 請求的返回碼（請求的返回碼（200代表成功）代表成功）NNN，如果沒有則以，如果沒有則以“-”表示表示 返回的字節(jié)數(shù)返回的字節(jié)數(shù)NNNNN，如果沒有則以，如果沒有則以“-”表示表示 請求的請求的URL的地址的地址http:/ 訪問者使用的瀏覽器及其版本訪問者使用

18、的瀏覽器及其版本“browser/version”（操作系統(tǒng)）（操作系統(tǒng)） WWW日志日志 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20040419 03:091 6 7 80 GET /iisstart.asp 20

19、0 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+ DigExt) 20040419 03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+ DigExt) FTP日志日志 FTP日志每天生成一個日志文件，包含了該日的一切記錄，文件名通常為日志每天生成一個日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（年份） （月份）（日期）。例如（月份）（日期）。例如ex040419，就是，就是2

20、004年年4月月19日產(chǎn)生的日志，用記事本可直接日產(chǎn)生的日志，用記事本可直接 打開，普通的有入侵行為的日志一般是這樣的：打開，普通的有入侵行為的日志一般是這樣的： #Software: Microsoft Internet Information Services 5.0（微軟（微軟IIS5.0） #Version: 1.0 （版本（版本1.0） #Date: 20040419 0315 （服務(wù)啟動時間日期）（服務(wù)啟動時間日期） #Fields: time cip csmethod csuristem scstatus 0315 1USER administator 331

21、（IP地址為地址為用戶名為用戶名為administator 試圖登錄）試圖登錄） 0318 1PASS 530（登錄失敗）（登錄失?。?032:04 1USER nt 331（IP地址為地址為用戶名為用戶名為nt的用戶試圖登錄）的用戶試圖登錄） 032:06 1PASS 530（登錄失?。ǖ卿浭。?032:09 1USER cyz 331（IP地址為地址為用戶名為用戶名為cyz的用戶試圖登錄）的用戶試圖登錄） 0322 1PASS 530

22、（登錄失敗）（登錄失?。?0322 1USER administrator 331（IP地址為地址為用戶名為用戶名為 administrator試圖登錄）試圖登錄） 0324 1PASS 230（登錄成功）（登錄成功） 0321 1MKD nt 550（新建目錄失敗）（新建目錄失?。?0325 1QUIT 550（退出（退出FTP程序）程序） 從日志里就能看出從日志里就能看出IP地址為地址為的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼

23、才成功，管理員立即就可以得知這個才成功，管理員立即就可以得知這個IP至少有入侵企圖！而他的入侵時間、至少有入侵企圖！而他的入侵時間、IP地址以及地址以及 探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用 Administrator用戶名用戶名 進入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系進入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系 統(tǒng)出什么問題了。統(tǒng)出什么問題了。 26 3.1.4 網(wǎng)絡(luò)信息源的優(yōu)勢網(wǎng)絡(luò)信息源的優(yōu)勢 可以對整個子網(wǎng)進行檢測可以對整個子網(wǎng)進行檢測 不影響

24、現(xiàn)存的數(shù)據(jù)源，不影響現(xiàn)存的數(shù)據(jù)源，不改變系統(tǒng)和網(wǎng)絡(luò)不改變系統(tǒng)和網(wǎng)絡(luò) 的工作模式的工作模式 不影響主機性能和網(wǎng)絡(luò)性能不影響主機性能和網(wǎng)絡(luò)性能 被動接收方式被動接收方式，隱蔽性好，隱蔽性好 對基于網(wǎng)絡(luò)協(xié)議的入侵手段有較強的分析對基于網(wǎng)絡(luò)協(xié)議的入侵手段有較強的分析 能力能力 27 網(wǎng)絡(luò)信息源的缺陷網(wǎng)絡(luò)信息源的缺陷 檢測效率檢測效率 網(wǎng)絡(luò)流量日益增大的挑戰(zhàn)網(wǎng)絡(luò)流量日益增大的挑戰(zhàn) 虛警和漏警的平衡虛警和漏警的平衡 應(yīng)用于交換環(huán)境出現(xiàn)的問題應(yīng)用于交換環(huán)境出現(xiàn)的問題 在交換網(wǎng)絡(luò)環(huán)境中應(yīng)該考慮的問題在交換網(wǎng)絡(luò)環(huán)境中應(yīng)該考慮的問題 每個端口的忙碌狀況每個端口的忙碌狀況 如何識別和跟蹤錯誤源？如何識別和跟蹤錯誤源

25、？ 廣播風(fēng)暴的源頭是什么？廣播風(fēng)暴的源頭是什么？ 交換轉(zhuǎn)發(fā)表是否運行正常交換轉(zhuǎn)發(fā)表是否運行正常? 哪個站點連接在這個端口上？哪個站點連接在這個端口上？ 交換機對協(xié)議或端口是否有速率限制？交換機對協(xié)議或端口是否有速率限制？ 28 3.1.5 來自其它安全產(chǎn)品的信息來自其它安全產(chǎn)品的信息 防火墻防火墻 認證系統(tǒng)認證系統(tǒng) 訪問控制系統(tǒng)訪問控制系統(tǒng) 其它安全設(shè)備其它安全設(shè)備 提高分析的準(zhǔn)確性和全面性提高分析的準(zhǔn)確性和全面性 3.1.6 信息源的選擇問題信息源的選擇問題 基本原則：基本原則： 根據(jù)檢測目標(biāo)來選擇數(shù)據(jù)源；根據(jù)檢測目標(biāo)來選擇數(shù)據(jù)源； 最少數(shù)目的輸入數(shù)據(jù)源最少數(shù)目的輸入數(shù)據(jù)源 3.2 入侵檢測

26、的分類入侵檢測的分類 對入侵檢測系統(tǒng)可以根據(jù)所采用的審計數(shù)對入侵檢測系統(tǒng)可以根據(jù)所采用的審計數(shù) 據(jù)源、檢測策略、檢測的實時性、對抗措據(jù)源、檢測策略、檢測的實時性、對抗措 施、體系結(jié)構(gòu)等方面進行劃分。施、體系結(jié)構(gòu)等方面進行劃分。 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類 1.基于網(wǎng)絡(luò)的系統(tǒng)基于網(wǎng)絡(luò)的系統(tǒng)VS基于主機的系統(tǒng)基于主機的系統(tǒng) 根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源 ： 主機系統(tǒng)日志 原始的網(wǎng)絡(luò)數(shù)據(jù)包 應(yīng)用程序的日志 防火墻報警日志 其它入侵檢測系統(tǒng)的報警信息 入侵檢測實質(zhì)上可以歸結(jié)為對安全審計數(shù) 據(jù)的處理，這種處理可以針對網(wǎng)絡(luò)數(shù)據(jù)， 也可以針對主機的審計記錄或應(yīng)用程序日 志。依據(jù)審計數(shù)據(jù)源的不同可

27、將IDS分為基 于網(wǎng)絡(luò)的IDS、基于主機的IDS和基于主機/ 網(wǎng)絡(luò)混合型的IDS。 基于網(wǎng)絡(luò)的IDS利用網(wǎng)絡(luò)數(shù)據(jù)包作為審計數(shù) 據(jù)源，其優(yōu)點是隱蔽性好，不容易遭受攻 擊，對主機資源消耗少。并且由于網(wǎng)絡(luò)協(xié) 議是標(biāo)準(zhǔn)的，可以對網(wǎng)絡(luò)提供通用的保護 而無需顧及異構(gòu)主機的不同架構(gòu)。 基于主機的IDS所分析的安全審計數(shù)據(jù)主要來自 主機日志、應(yīng)用程序所產(chǎn)生的日志以及特權(quán)程序 所產(chǎn)生的系統(tǒng)調(diào)用序列日志。其優(yōu)點是檢測精度 高，但是只能檢測針對本機的攻擊，不適合檢測 針對網(wǎng)絡(luò)協(xié)議漏洞的攻擊。 混合型IDS結(jié)合兩種數(shù)據(jù)源，最大限度提高對網(wǎng) 絡(luò)及主機系統(tǒng)的信息收集，實現(xiàn)準(zhǔn)確且高效的入 侵檢測。 2濫用檢測濫用檢測VS異

28、常檢測異常檢測 濫用檢測又稱為基于知識的入侵檢測，是 對利用已知的系統(tǒng)缺陷和已知的入侵方法 進行入侵活動的檢測。入侵者常常利用系 統(tǒng)和應(yīng)用軟件的弱點來實施攻擊，將這些 弱點編成某種模式，如果入侵者的攻擊方 式正好與檢測系統(tǒng)的模式庫中某些模式匹 配，則認為有入侵行為發(fā)生。 濫用檢測的關(guān)鍵在于如何通過入侵模式準(zhǔn) 確地描述入侵活動的特征、條件、排列和 關(guān)系，從而有效地檢測入侵。系統(tǒng)需要對 已知的入侵行為進行分析，提取檢測特征， 構(gòu)建攻擊模式。對觀察到的審計數(shù)據(jù)進行 分析檢測，通過系統(tǒng)當(dāng)前狀態(tài)與攻擊模式 進行匹配，判斷是否有入侵行為。 濫用檢測方法的優(yōu)點是可以針對性地建立 高效的入侵檢測系統(tǒng)，對已知攻

29、擊檢測準(zhǔn) 確率高。缺點是不能檢測未知攻擊或已知 攻擊的變種，需要對入侵模式不斷進行維 護升級； 異常檢測前提是假定所有入侵行為都有區(qū)別于正 常行為的異常特性。 異常檢測是根據(jù)系統(tǒng)或用戶的非正常行為和使用 計算機資源的非正常情況來檢測入侵行為。 因此首先建立目標(biāo)系統(tǒng)及其用戶的活動模型，然 后基于這個模型對系統(tǒng)和用戶的實際活動進行審 計，通過比較差異來判斷是否有入侵行為。 優(yōu)點是不受已知知識的限制，因而它可以檢測未 知的攻擊行為。 關(guān)鍵問題在于正常使用模式的建立及如何 利用該模式對當(dāng)前系統(tǒng)/用戶行為進行比較 （即系統(tǒng)特征量以及閾值的選?。?，從而 判斷出與正常模式的偏離程度。 異常檢測方法存在的主要問題： 如何有效地表示用戶的正常行為模式？即選擇 哪些數(shù)據(jù)才能有效的反映用戶的行為，而且正 常模式具有時效性，需要不斷修正和更新。當(dāng) 用戶行為突然改變