第7章入侵檢測(cè)技術(shù)2

1、內(nèi)容回顧復(fù)習(xí)復(fù)習(xí):測(cè)試中的問(wèn)題測(cè)試中的問(wèn)題防火墻技術(shù)防火墻技術(shù)新內(nèi)容新內(nèi)容:入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)防火墻技術(shù)兩種主要防火墻技術(shù)： 包過(guò)濾防火墻 代理防火墻防火墻的體系結(jié)構(gòu) 雙宿主機(jī)防火墻體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻的局限性（1）防火墻防外不防內(nèi)。）防火墻防外不防內(nèi)。（2）防火墻不能防范不通過(guò)它的連接。）防火墻不能防范不通過(guò)它的連接。（3）防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。）防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。由于有這些局限性，為了保護(hù)網(wǎng)絡(luò)，就必由于有這些局限性，為了保護(hù)網(wǎng)絡(luò)，就必須完善網(wǎng)絡(luò)的防護(hù)體系須完善網(wǎng)絡(luò)的防護(hù)體系入侵檢測(cè)技術(shù)是對(duì)防火墻技術(shù)的合理補(bǔ)充，入侵檢測(cè)技術(shù)是對(duì)防火墻技術(shù)的合理補(bǔ)充

2、，是網(wǎng)絡(luò)的第二道安全閘門是網(wǎng)絡(luò)的第二道安全閘門第7章 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)(Instruction Detection System) (IDS)本章主要內(nèi)容：本章主要內(nèi)容： 重重 點(diǎn)：點(diǎn)： 1:入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)系統(tǒng)的概念 重重 點(diǎn)：點(diǎn)： 2:入侵檢測(cè)技術(shù)的作用入侵檢測(cè)技術(shù)的作用 重重難點(diǎn)：難點(diǎn)： 3:入侵檢測(cè)原理入侵檢測(cè)原理 重重難點(diǎn)：難點(diǎn)： 4:入侵檢測(cè)應(yīng)用入侵檢測(cè)應(yīng)用 IDS存在與發(fā)展的必然性存在與發(fā)展的必然性一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性二、日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅二、日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅三、單純的防火墻無(wú)法防范復(fù)雜多變的攻擊三、單純

3、的防火墻無(wú)法防范復(fù)雜多變的攻擊入侵入侵檢測(cè)系統(tǒng)的概念檢測(cè)系統(tǒng)的概念 入侵入侵檢測(cè)系統(tǒng)檢測(cè)系統(tǒng)IDS （ Intrusion Detection System）：）： 通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息收集信息，并對(duì)其進(jìn)行分析分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象被攻擊的跡象。這種進(jìn)行入侵檢測(cè)的軟件與硬件的組合被稱為入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)與防火墻、系統(tǒng)掃描器入侵檢測(cè)與防火墻、系統(tǒng)掃描器 入侵監(jiān)測(cè)系統(tǒng)的位置： 處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器

4、配合工作。入侵檢測(cè)與系統(tǒng)掃描器入侵檢測(cè)與系統(tǒng)掃描器 入侵監(jiān)測(cè)系統(tǒng)IDS與系統(tǒng)掃描器system scanner的區(qū)別：（1）系統(tǒng)掃描器系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫(kù)來(lái)掃描系統(tǒng)漏洞的，它更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出你的主機(jī)的流量。在遭受攻擊的主機(jī)上，即使正在運(yùn)行著掃描程序，也無(wú)法識(shí)別這種攻擊（2）IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。（3）總之，總之，網(wǎng)絡(luò)掃描器檢測(cè)主機(jī)上先前設(shè)置的漏洞，而IDS監(jiān)視和記錄網(wǎng)絡(luò)流量。如果在同一臺(tái)主機(jī)上運(yùn)行IDS和掃描器的話，配置合理的IDS會(huì)發(fā)出許多報(bào)警。 入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)系統(tǒng)的

5、作用 入侵檢測(cè)技術(shù)IDS是一種主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。 作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集分析信息，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。它可以防止或減少網(wǎng)絡(luò)威脅。 入侵檢測(cè)系統(tǒng)的發(fā)展歷程入侵檢測(cè)系統(tǒng)的發(fā)展歷程 1980年4月，James P. Anderson為美國(guó)空軍做了一份題為Computer Security Threat Monitoring and Surv

6、eillance（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念。 從1984年到1986年，喬治敦大學(xué)的Dorothy Denning和SRI/CSL（SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室）的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES（入侵檢測(cè)專家系統(tǒng)）。為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用的框架。 入侵檢測(cè)系統(tǒng)的發(fā)展歷程入侵檢測(cè)系統(tǒng)的發(fā)展歷程 1989年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人開(kāi)發(fā)出了NSM（Network Security Monitor）。 該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)

7、數(shù)據(jù)來(lái)源，并可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。 從此之后，入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDS和基于主機(jī)基于主機(jī)的的IDS。通用入侵檢測(cè)系統(tǒng)模型通用入侵檢測(cè)系統(tǒng)模型配置信息配置信息知識(shí)庫(kù)知識(shí)庫(kù)數(shù)據(jù)收集器數(shù)據(jù)收集器審計(jì)數(shù)據(jù)審計(jì)數(shù)據(jù)報(bào)警信息報(bào)警信息控制動(dòng)作控制動(dòng)作目標(biāo)系統(tǒng)目標(biāo)系統(tǒng)檢測(cè)器檢測(cè)器控制器控制器通用入侵檢測(cè)系統(tǒng)模型通用入侵檢測(cè)系統(tǒng)模型入侵入侵檢測(cè)檢測(cè)IDS的基本結(jié)構(gòu)的基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)模型包括以下幾個(gè)組成部分：入侵檢測(cè)系統(tǒng)模型包括以下幾個(gè)組成部分：（1 1）信息收集信息收集（信息收集器也（信息收集器也事件產(chǎn)生器事件產(chǎn)生器）主要

8、）主要負(fù)責(zé)收集所有可能的和入侵行為有關(guān)的數(shù)據(jù)。負(fù)責(zé)收集所有可能的和入侵行為有關(guān)的數(shù)據(jù)。（2 2）信息分析信息分析（檢測(cè)器（檢測(cè)器也叫也叫事件分析器事件分析器）:分析檢分析檢測(cè)入侵行為，并發(fā)出警報(bào)信號(hào)。測(cè)入侵行為，并發(fā)出警報(bào)信號(hào)。（3 3）知識(shí)庫(kù)知識(shí)庫(kù)（也叫（也叫事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)）：提供必要的數(shù)：提供必要的數(shù)據(jù)信息支持，如用戶的歷史活動(dòng)檔案、檢測(cè)規(guī)則據(jù)信息支持，如用戶的歷史活動(dòng)檔案、檢測(cè)規(guī)則集合等。集合等。（4 4）結(jié)果處理結(jié)果處理（控制器也叫（控制器也叫響應(yīng)單元響應(yīng)單元）：根據(jù)警）：根據(jù)警報(bào)信號(hào)，人工或自動(dòng)做出反應(yīng)動(dòng)作。報(bào)信號(hào)，人工或自動(dòng)做出反應(yīng)動(dòng)作。入侵檢測(cè)系統(tǒng)基本概念入侵檢測(cè)系統(tǒng)基本概

9、念 事件：事件：將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。 事件產(chǎn)生器事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。 事件分析器事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。 響應(yīng)單元響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。 事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。 入侵檢測(cè)系統(tǒng)的功能入侵檢測(cè)系統(tǒng)的功能 a.監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)； b.核查系統(tǒng)配置和漏洞； c.

10、評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； d.識(shí)別已知的攻擊行為； e.統(tǒng)計(jì)分析異常行為； f.審計(jì)操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。 入侵檢測(cè)系統(tǒng)的工作過(guò)程入侵檢測(cè)系統(tǒng)的工作過(guò)程 信息收集 日志文件、非正常的目錄文件改變、非正常的程序執(zhí)行 信號(hào)分析模式匹配、統(tǒng)計(jì)分析、完整性分析 實(shí)時(shí)記錄、報(bào)警或有限度反擊信息收集信息收集 入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面 ：（1）系統(tǒng)和網(wǎng)絡(luò)日志文件：黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。 （2）非正常的目錄和文件改變：網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私

11、有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。 （3）非正常的程序執(zhí)行：一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。 （4）物理形式的入侵信息：這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。 信息分析信息分析對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：進(jìn)行分析： （1）模式匹配）模式匹配（2）統(tǒng)計(jì)分析）統(tǒng)計(jì)分析（3）完整性分析，往往用于事后分析）完整性分析，往往用于事后分析模式匹配模式匹配 模式匹配就是將收集到的信息與

12、已知的網(wǎng)絡(luò)模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。 一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該方法的一大優(yōu)點(diǎn)是

13、只需收集限）來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。術(shù)已相當(dāng)成熟。 統(tǒng)計(jì)分析統(tǒng)計(jì)分析 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。 例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳戶卻在凌晨?jī)牲c(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為

14、的突然改變。完整性分析完整性分析 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。 完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。 其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。 缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。 例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開(kāi)啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。入侵檢測(cè)系統(tǒng)分類（入侵檢測(cè)系統(tǒng)分類（

15、1）按照檢測(cè)方法分類：l異常檢測(cè)模型：異常檢測(cè)模型：檢測(cè)與可接受行為的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵?？偨Y(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大集偏離時(shí)即被認(rèn)為是入侵。 特點(diǎn)：特點(diǎn)：漏報(bào)率低，誤報(bào)率高。l誤用檢測(cè)模型：誤用檢測(cè)模型：檢測(cè)與已知的不可接受行為之間的匹配程度。如果可以定義所有的 不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起報(bào)警。收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)即被認(rèn)為是入侵。 特點(diǎn)：特點(diǎn)：漏報(bào)率高，誤報(bào)率低。入侵檢測(cè)系統(tǒng)分類（入侵檢測(cè)系統(tǒng)分類（2）根據(jù)入侵檢測(cè)的

16、對(duì)象不同，可以分為：根據(jù)入侵檢測(cè)的對(duì)象不同，可以分為： 主機(jī)型入侵檢測(cè)系統(tǒng)主機(jī)型入侵檢測(cè)系統(tǒng) HIDS主要對(duì)象：日志主要對(duì)象：日志 優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)和缺點(diǎn) 網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng) NIDS主要對(duì)象：數(shù)據(jù)包主要對(duì)象：數(shù)據(jù)包優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)和缺點(diǎn)入侵檢測(cè)系統(tǒng)分類（入侵檢測(cè)系統(tǒng)分類（3）入侵檢測(cè)系統(tǒng)按其輸入數(shù)據(jù)的來(lái)源，可以分為入侵檢測(cè)系統(tǒng)按其輸入數(shù)據(jù)的來(lái)源，可以分為3類：類： 基于主機(jī)的入侵檢測(cè)系統(tǒng)：基于主機(jī)的入侵檢測(cè)系統(tǒng)：其輸入數(shù)據(jù)來(lái)源于系其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上發(fā)生的入統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上發(fā)生的入侵。侵。 2. 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的

17、入侵檢測(cè)系統(tǒng)：其輸入數(shù)據(jù)來(lái)源于：其輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入網(wǎng)絡(luò)的信息流，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。侵。1. 3. 采用上述兩種數(shù)據(jù)來(lái)源的分布式入侵檢測(cè)系統(tǒng)：采用上述兩種數(shù)據(jù)來(lái)源的分布式入侵檢測(cè)系統(tǒng)： 能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)流的入侵檢測(cè)系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。部件組成。 入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo) 每秒數(shù)據(jù)流量每秒數(shù)據(jù)流量 每秒抓包數(shù)每秒抓包數(shù) 每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù) 每秒能處理的事件數(shù)每秒能處理的事件數(shù)入侵檢測(cè)系統(tǒng)的應(yīng)用入侵檢測(cè)系統(tǒng)的應(yīng)用 Snort入侵檢測(cè)系統(tǒng)：入侵檢測(cè)系統(tǒng)：是一個(gè)免費(fèi)的、跨平臺(tái)的是一個(gè)免費(fèi)的、跨平臺(tái)的軟件包。軟件包。 金諾入侵檢測(cè)系統(tǒng)：金諾入侵檢測(cè)系統(tǒng)：是由上海金諾公司研發(fā)的具是由上海金諾公司研發(fā)的具有全方位的實(shí)時(shí)入侵檢