-第12章入侵檢測技術(shù)-PPT課件

1、第10章 入侵檢測系統(tǒng)7/22/20221導(dǎo)入整個(gè)生命周期的防御和恢復(fù)7/22/20222導(dǎo)入脆弱性存在的普遍性大型信息系統(tǒng)的復(fù)雜性，使用管理困難，難免有漏洞安全意識缺乏修補(bǔ)系統(tǒng)軟件缺陷并不常令人滿意安全防護(hù)措施不足以保護(hù)安全對象屬性安全技術(shù)缺陷 7/22/20223IDS（Intrusion Detection System）IDS能在網(wǎng)絡(luò)關(guān)鍵點(diǎn)收集信息和分析，發(fā)現(xiàn)可疑行為。7/22/20224內(nèi)容入侵檢測概述入侵檢測系統(tǒng)入侵檢測的方法snort入侵檢測系統(tǒng)入侵檢測實(shí)現(xiàn)示例入侵檢測系統(tǒng)的發(fā)展趨勢7/22/20225入侵檢測概述入侵行為：泛指一切違反安全策略的行為；入侵檢測：檢測被保護(hù)系統(tǒng)中的

2、入侵行為的技術(shù)；入侵檢測系統(tǒng)（IDS）：檢測對計(jì)算機(jī)、網(wǎng)絡(luò)或者更廣泛的信息系統(tǒng)的攻擊，包括外部非法入侵者的惡意攻擊或試探、內(nèi)部合法用戶的未授權(quán)訪問的軟硬件系統(tǒng)。基本方法：收集計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的信息，并對這些信息加以分析，對保護(hù)的系統(tǒng)進(jìn)行安全審計(jì)、監(jiān)控、攻擊識別并作出實(shí)時(shí)的反應(yīng)。7/22/20226入侵檢測主要目的（1）識別攻擊行為和捕獲入侵者。（2）應(yīng)急響應(yīng)：及時(shí)阻止攻擊活動(dòng)。（3）檢測安全防范的效果。（4）發(fā)現(xiàn)新的攻擊。（5）威懾攻擊者。7/22/20227提綱入侵檢測概述入侵檢測系統(tǒng)入侵檢測的方法snort入侵檢測系統(tǒng)入侵檢測系統(tǒng)實(shí)現(xiàn)示例入侵檢測系統(tǒng)的發(fā)展趨勢7/22/20228Denni

3、ng的IDS模型7/22/20229CIDF提出的IDS模型7/22/202210入侵檢測系統(tǒng)的工作流程 信息收集階段：主要工作是收集被保護(hù)系統(tǒng)的特征信息。包括來自主機(jī)的信息、來自網(wǎng)絡(luò)的信息和來自其它入侵檢測系統(tǒng)的信息三類。信息分析階段：主要工作是利用某種入侵檢測技術(shù)對收集的特征信息進(jìn)行綜合分析，發(fā)現(xiàn)其中存在的入侵行為。信息分析是整個(gè)入侵檢測的核心階段。動(dòng)作響應(yīng)階段：主要工作是根據(jù)對信息分析的結(jié)果，作出適當(dāng)?shù)捻憫?yīng)動(dòng)作，消除或者減小入侵行為可能對系統(tǒng)的危害。常采取的響應(yīng)動(dòng)作有報(bào)警；將攻擊者記入黑名單，停止攻擊者帳號；斷開與攻擊者的網(wǎng)絡(luò)連接，停止對攻擊者的服務(wù)；更新防火墻策略，屏蔽可疑地址；記錄入

4、侵事件等。7/22/202211IDS分類基于主機(jī)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測布式入侵檢測系統(tǒng) 7/22/202212基于主機(jī)的入侵檢測系統(tǒng)IDS系統(tǒng)安裝在主機(jī)上，對本主機(jī)進(jìn)行安全檢測信息來源系統(tǒng)狀態(tài)信息（CPU, Memory, Network）記賬（Accounting）信息審計(jì)信息（Audit，如syslog等應(yīng)用系統(tǒng)提供的審計(jì)記錄7/22/202213基于主機(jī)的入侵檢測系統(tǒng)HIDSHIDSHIDSHIDS7/22/202214基于網(wǎng)絡(luò)的入侵檢測HUBIDS SensorMonitored Servers7/22/202215基于網(wǎng)絡(luò)的入侵檢測的信息源信息來源于網(wǎng)絡(luò)上的數(shù)據(jù)包SNMP信息

5、網(wǎng)絡(luò)通信包被動(dòng)監(jiān)聽方式工作，不影響網(wǎng)絡(luò)性能分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)，與系統(tǒng)平臺無關(guān)?，F(xiàn)在主流的商業(yè)IDS都是基于網(wǎng)絡(luò)的7/22/202216基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的部署要求：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。所關(guān)注流量：來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。7/22/202217分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)Agentmanager7/22/202218混合型的分布式入侵檢測系統(tǒng)主機(jī)主機(jī)流量分析器流量分析器主機(jī)代理管理器AgentAgent主機(jī)代理網(wǎng)絡(luò)代理管理器7/22/202219混合型的分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)需要考慮的主要問題不同的入侵檢測A

6、gent之間的協(xié)調(diào)；不同審計(jì)記錄格式：主機(jī)，網(wǎng)絡(luò)；網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量可能會(huì)影響網(wǎng)絡(luò)性能；數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c完整性；層次結(jié)構(gòu)7/22/202220提綱入侵檢測概述入侵檢測系統(tǒng)入侵檢測的方法snort入侵檢測系統(tǒng)入侵檢測系統(tǒng)實(shí)現(xiàn)示例入侵檢測系統(tǒng)的發(fā)展趨勢7/22/202221入侵檢測方法誤用（Misuse）檢測異常（Anomaly）檢測其他檢測方法7/22/202222誤用檢測原理與方法 根據(jù)已知的入侵模式來檢測入侵。將已知的攻擊行為編成某種特征模式，如果入侵者攻擊方式恰好匹配上檢測系統(tǒng)中的模式庫，則攻擊行為就被檢測到。7/22/202223模式匹配模式匹配：將已知的攻擊行為編成某種特征模式(si

7、gnature)，形成特征庫；信息收集模塊根據(jù)特征庫中的特征收集被保護(hù)系統(tǒng)的特征信息；分析模塊將收集到的特征信息與數(shù)據(jù)庫中的特征相匹配，如果匹配成功，則表示存在相應(yīng)的入侵行為，否則認(rèn)為是正常的行為。7/22/202224入侵特征庫特征舉例來自保留IP地址的連接企圖帶有非法TCP 標(biāo)志組合的數(shù)據(jù)包含有特殊病毒信息的EmailDNS查詢中的DNS緩沖區(qū)溢出企圖通過對服務(wù)器發(fā)出上千次同一命令而導(dǎo)致DoS攻擊7/22/202225Winnuke攻擊數(shù)據(jù)包的特征是：包的源地址與目標(biāo)地址相同，遠(yuǎn)端口與目標(biāo)端口相同 phf探測的特征是http請求的內(nèi)容部分包含字符串“/cgi-bin/phf”7/22/20

8、2226alert tcp any any - /24 80 (content: “CMD.EXE; msg: “IIS overflow!;)檢查80端口（web端口），判斷向這個(gè)端口發(fā)送的數(shù)據(jù)中是否包含“CMD.EXE”的字符串，如果含有就認(rèn)為是入侵的行為。7/22/202227SNORT規(guī)則的定義alert tcp any any - /24 143 (content: |90C8 C0FF FFFF|/bin/sh; msg: IMAP buffer overflow!;)對任何主機(jī)的任何端口到/24 (CIDR)的143端口的數(shù)據(jù)包分析，如果數(shù)據(jù)包內(nèi)含有數(shù)據(jù)：|90C8 C0FF F

9、FFF|/bin/sh,就報(bào)警，報(bào)警信息為： IMAP buffer overflow !7/22/202228規(guī)則推理 規(guī)則是一個(gè)if-then結(jié)構(gòu)，if是規(guī)則的條件，then是條件成立后需要執(zhí)行的動(dòng)作。條件是否成立來源于對事實(shí)和輸入數(shù)據(jù)的分析動(dòng)作通常為針對入侵行為所采取的措施 系統(tǒng)維護(hù)一個(gè)規(guī)則庫常采用的方法：根據(jù)已有的事實(shí)和信息，在規(guī)則庫中先選擇能夠和這些條件匹配的規(guī)則，縮小候選規(guī)則的規(guī)模，然后再從中選出最適合的規(guī)則進(jìn)行推理，得出判斷結(jié)論。入侵行為一般不會(huì)通過一條規(guī)則就被發(fā)現(xiàn)，一條規(guī)則判斷完成，其結(jié)果可以作為新的事實(shí)加入到已有事實(shí)的集合中，和其它事實(shí)和信息一道可能又會(huì)引起新的規(guī)則的執(zhí)行；如

10、此往復(fù)，直到?jīng)]有新的規(guī)則被執(zhí)行，對入侵行為的檢測才結(jié)束，得出是否存在入侵行為的結(jié)論。 7/22/202229誤用檢測方法分析誤用檢測的優(yōu)點(diǎn)算法簡單系統(tǒng)開銷小 準(zhǔn)確率高效率高7/22/202230誤用檢測的缺點(diǎn)被動(dòng)只能檢測出已知攻擊 新類型的攻擊會(huì)對系統(tǒng)造成很大的威脅 特征庫（規(guī)則庫）的建立和維護(hù)難特征庫（規(guī)則庫）要不斷更新知識依賴于硬件平臺操作系統(tǒng)系統(tǒng)中運(yùn)行的應(yīng)用程序7/22/202231入侵檢測方法異常檢測異常檢測是指建立系統(tǒng)的正常模式輪廓（統(tǒng)計(jì)），若實(shí)時(shí)獲得的系統(tǒng)或用戶的輪廓值與正常值的差異超出指定的閾值，就進(jìn)行入侵報(bào)警。正常的模式輪廓可以從大量歷史活動(dòng)資料的分析統(tǒng)計(jì)中得到。常見輪廓有：單

11、用戶帳號組帳號主機(jī)系統(tǒng)7/22/202232統(tǒng)計(jì)計(jì)算分析:將用戶行為模型化，檢查它們與正常用戶模型的偏差.正常操作行為異常行為7/22/202233統(tǒng)計(jì)分析是在對一系列相關(guān)歷史數(shù)據(jù)的統(tǒng)計(jì)分析的基礎(chǔ)上，對新的數(shù)據(jù)進(jìn)行判斷；歷史數(shù)據(jù)的某種統(tǒng)計(jì)特征是衡量新行為的標(biāo)準(zhǔn)，新行為和統(tǒng)計(jì)特征相差大于某個(gè)閾值，則說明新行為是入侵行為。 通過歷史數(shù)據(jù)計(jì)算出的統(tǒng)計(jì)特征很多有直觀的含義；有的沒有直觀含義。這些特征是對歷史數(shù)據(jù)按照某種模型進(jìn)行處理的結(jié)果，能夠穩(wěn)定、準(zhǔn)確的區(qū)分開正常和異常行為。7/22/202234人工神經(jīng)網(wǎng)絡(luò)人工神經(jīng)網(wǎng)絡(luò)通過對大量神經(jīng)元和神經(jīng)元所組成的網(wǎng)絡(luò)的模擬，實(shí)現(xiàn)了對人腦收集、加工、存儲(chǔ)以至運(yùn)用信

12、息能力的模擬。 外界信號是人工神經(jīng)網(wǎng)絡(luò)的輸入，人腦對信號的反應(yīng)對應(yīng)人工神經(jīng)網(wǎng)絡(luò)的輸出，神經(jīng)元是大量的簡單的處理單元，神經(jīng)元對外界信號的傳遞效果對應(yīng)處理單元對輸入信號和輸出信號的互聯(lián)權(quán)值或傳遞函數(shù)。 7/22/2022357/22/202236人工神經(jīng)網(wǎng)絡(luò)法學(xué)習(xí)和能力。學(xué)習(xí)就是調(diào)整所模擬的處理單元的互聯(lián)權(quán)值和傳遞函數(shù)。學(xué)習(xí)的過程是反復(fù)的輸入信息樣本，其中包括正常的信息和存在入侵行為的信息，并說明信息是否正常。學(xué)習(xí)成功的標(biāo)準(zhǔn)就是人工神經(jīng)網(wǎng)絡(luò)可以對樣本穩(wěn)定的做出正確的判斷。學(xué)習(xí)完備就可以使用人工神經(jīng)網(wǎng)絡(luò)對實(shí)際系統(tǒng)中的信息進(jìn)行檢測;7/22/202237異常檢測原理與方法分析異常檢測的優(yōu)點(diǎn)可以檢測到未

13、知的入侵 可以檢測冒用他人帳號的行為 具有自適應(yīng)，自學(xué)習(xí)功能 不需要系統(tǒng)先驗(yàn)知識7/22/202238異常檢測的缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會(huì)造成誤警 統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低 統(tǒng)計(jì)點(diǎn)的選取和參考庫的建立比較困難，歷史數(shù)據(jù)選擇不當(dāng)、統(tǒng)計(jì)特征抽取不當(dāng)、判斷閾值設(shè)計(jì)不當(dāng)?shù)榷紩?huì)造成對入侵行為的誤判， 7/22/202239提綱入侵檢測概述入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測方法snort入侵檢測系統(tǒng)入侵檢測技術(shù)發(fā)展趨勢7/22/202240Snort 入侵檢測系統(tǒng)Snort 系統(tǒng)概述Martin Roesch , 開放源代碼NIDS支持多種平臺：

14、Linux , Solaris, Windows 不僅是一個(gè)功能強(qiáng)大的入侵檢測系統(tǒng)，還可以作為網(wǎng)絡(luò)信息包的分析器、記錄器提供了一種簡單、靈活的描述語言，用以增加系統(tǒng)中的規(guī)則。 可以使用插件進(jìn)行功能擴(kuò)充Snort遵守GPL要求 7/22/202241Snort 系統(tǒng)結(jié)構(gòu)7/22/202242Snort的3種工作模式嗅探器模式（Sniffer mode）：相當(dāng)于一個(gè)嗅探器，在網(wǎng)絡(luò)中偵聽傳輸?shù)臄?shù)據(jù)包。在這種模式下，Snort可以按照用戶的配置，有選擇的針對特定協(xié)議收集信息。嗅探的結(jié)果可以在控制臺屏幕上分組顯示出來。報(bào)文記錄模式（Package Logger mode）：在嗅探的基礎(chǔ)上，將收集到的網(wǎng)絡(luò)

15、數(shù)據(jù)包信息，記錄到磁盤上。日志的格式可以是便于閱讀的ASCII文本格式，也可以是便于處理的二進(jìn)制格式。基于網(wǎng)絡(luò)的入侵檢測模式（NIDS mode）：Snort不僅要嗅探網(wǎng)絡(luò)數(shù)據(jù)包，記錄數(shù)據(jù)包，還要對數(shù)據(jù)包進(jìn)行分析，發(fā)現(xiàn)其中的入侵行為、產(chǎn)生響應(yīng)動(dòng)作，完成入侵檢測的任務(wù)。7/22/202243安裝Snort提供了多個(gè)系統(tǒng)平臺的安裝版本，其中Windows平臺的版本安裝方式最為簡便。安裝WinPcap軟件庫安裝Snort缺省的安裝路徑C:SnortSnort是一個(gè)在控制臺下運(yùn)行的程序，要切換到命令行的狀態(tài)下運(yùn)行Snort。缺省命令在C:Snortbin目錄下。執(zhí)行snort W命令可以查看計(jì)算機(jī)中工

16、作的網(wǎng)絡(luò)接口，可以用序號指定接口。7/22/202244嗅探器模式Snort可以偵聽網(wǎng)絡(luò)中的報(bào)文信息，并將信息在命令行的屏幕中顯示出來。涉及到的命令選項(xiàng)主要有：v、d、ev選項(xiàng)是在嗅探模式下必須使用的命令選項(xiàng)，單獨(dú)使用v選項(xiàng)，表示僅將偵聽到的TCP/IP的報(bào)文頭信息顯示在屏幕上。使用d選項(xiàng)可以增加應(yīng)用層的信息，既包括IP、TCP、UDP和ICMP等協(xié)議的頭信息又包含網(wǎng)絡(luò)數(shù)據(jù)包中攜帶的用戶應(yīng)用數(shù)據(jù)。e選項(xiàng)可以增加顯示數(shù)據(jù)鏈路層的報(bào)文信息。C:Snortbinsnort dv C:Snortbinsnort dv -i 37/22/202245報(bào)文記錄模式將收集到的網(wǎng)絡(luò)信息記錄到磁盤等介質(zhì)上 主要

17、涉及到l、K、r、h命令選項(xiàng)l選項(xiàng)指明日志的目錄K選項(xiàng)設(shè)置日志文件的格式,缺省以tcpdump, 如果表示使用ascii碼形式，-K ascii 。 r命令選項(xiàng)表示讀后面參數(shù)所指示的日志文件。 h選項(xiàng)后跟網(wǎng)絡(luò)地址，表示僅對和某個(gè)網(wǎng)段的計(jì)算機(jī)相關(guān)的網(wǎng)絡(luò)信息感興趣；7/22/202246基于網(wǎng)絡(luò)的入侵檢測模式 Snort是一個(gè)完整的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，可以在收集系統(tǒng)信息的基礎(chǔ)上，對信息進(jìn)行分析，發(fā)現(xiàn)其中的入侵行為，并做出響應(yīng)動(dòng)作。 響應(yīng)動(dòng)作可以是簡單的報(bào)警、記錄，也可以實(shí)現(xiàn)斷開用戶連接等復(fù)雜的操作。在Snort中主要采用基于規(guī)則的模式匹配的檢測方法。 利用文本文件對Snort進(jìn)行配置。Snor

18、t啟動(dòng)時(shí)，通過命令選項(xiàng)指明文本文件的位置，就可以根據(jù)文件中的信息，實(shí)現(xiàn)入侵檢測的功能。 Snort通過-c選項(xiàng)指明配置文件的位置。 7/22/202247使用嗅探器模式 ：C:Snortbinsnort dv報(bào)文記錄模式C:Snortbinsnort l c:/Snort/log i 3基于網(wǎng)絡(luò)的入侵檢測模式 C:Snortbinsnort dev l c:/Snort/log -c c:/Snort/etc/snort.conf7/22/202248Snort的配置 缺省的配置文件C:/Snort/etc/snort.conf，內(nèi)容可以分為6部分 設(shè)置用戶的網(wǎng)絡(luò)參數(shù)。設(shè)置動(dòng)態(tài)加載庫的參數(shù) 設(shè)

19、置預(yù)處理器參數(shù)。 設(shè)置輸出插件參數(shù) 利用config進(jìn)行參數(shù)設(shè)置。 規(guī)則定制。 7/22/202249入侵檢測規(guī)則規(guī)則是擴(kuò)充Snort入侵檢測能力的最主要的方式 Snort 規(guī)則形式： 規(guī)則頭規(guī)則選項(xiàng)規(guī)則頭，包括：規(guī)則被觸發(fā)時(shí)產(chǎn)生的動(dòng)作、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)包的源和目的地址（包括網(wǎng)絡(luò)地址和端口）；括號里面嵌套的部分稱為規(guī)則選項(xiàng)，包括：規(guī)則被觸發(fā)時(shí)產(chǎn)生的提示信息、數(shù)據(jù)包中要檢查的特征等。 alert tcp any any - /24 111 (content: ”|000186a5|”; msg:”mounted access”)7/22/202250規(guī)則頭：Snort提供了8中預(yù)定義的規(guī)則動(dòng)作：a

20、lert：產(chǎn)生報(bào)警，并將數(shù)據(jù)包記入日志；log：將數(shù)據(jù)包記入日志；pass：忽略數(shù)據(jù)包；activate：產(chǎn)生報(bào)警，并觸發(fā)另一條動(dòng)態(tài)規(guī)則；dynamic：被其它規(guī)則觸發(fā)的規(guī)則，本身僅將數(shù)據(jù)包記入日志；drop：放棄數(shù)據(jù)包，并記入日志；reject：使iptable放棄數(shù)據(jù)包，并記入日志，此外還發(fā)送TCP重置（reset）數(shù)據(jù)包或者UDP的ICMP目的端口不可達(dá)信息，斷開客戶的會(huì)話請求；sdrop：放棄數(shù)據(jù)包，不記入日志。7/22/202251檢測引擎規(guī)則頭協(xié)議Snort現(xiàn)在可以分析4種協(xié)議類型的數(shù)據(jù)包：它們是：TCP、UDP、ICMP和IP。 IP 地址使用“any”關(guān)鍵字，表示任意地址；直接

21、寫特定的IP地址如：；CIDR格式的網(wǎng)段，如“/24” ；通過引用變量來標(biāo)識地址。如使用$HOME_NET標(biāo)識本地網(wǎng)絡(luò)、使用$ EXTERNAL_NET表示外部網(wǎng)絡(luò)等；使用！符號，表示對IP地址的否定。例如：!/24。通過中括號來標(biāo)識多個(gè)地址。例如/24,/24表示兩個(gè)網(wǎng)段的地址。 7/22/202252規(guī)則頭端口：端口的表示方式和IP地址表示方式相似，主要使用以下幾種方式：使用“any”關(guān)鍵字，表示任意端口；直接書寫。當(dāng)要表示某個(gè)范圍的端口時(shí)使用冒號“：”，如“1024：2000”表示從1024到2000之間所有的端口；“：3000”表示所有小于等于3000的端口；利用美元符號“$”或者嘆號

22、“！”通過變量標(biāo)識端口或者否定某個(gè)端口。 7/22/202253檢測引擎規(guī)則頭方向 單向： - 雙向 ： Log ! /24 any /24 23 # 記錄所有非本網(wǎng)的telnet 包Log udp any any - /24 1:1024 7/22/202254檢測引擎規(guī)則選項(xiàng)選項(xiàng)之間用 ; 分隔msg 在告警信息中顯示的消息ttl : IP 的 TTL 選項(xiàng)id ： IP 分片的dsize： 數(shù)據(jù)包的大小content ：數(shù)據(jù)包中的內(nèi)容offset： 從何處開始檢索contentdepth ：在content 中檢索的深度7/22/202255檢測引擎規(guī)則選項(xiàng)nocaseflagsseqa

23、ckitypeicodeipoptionresp7/22/202256規(guī)則舉例alert tcp any any any any (msg:tcp;) alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:WEB-IIS cmd.exe access; flow:to_server,established; uricontent:cmd.exe; nocase; classtype:web-application-attack; sid:1002; rev:8;)收集源地址為外部網(wǎng)絡(luò)任意端口（$EXTERNAL_NET any

24、），目的地址為HTTP服務(wù)器的特定服務(wù)端口（$HTTP_SERVERS $HTTP_PORTS）的數(shù)據(jù)包，如果地址信息中包含“cmd.exe”信息，便認(rèn)為這個(gè)請求是一個(gè)網(wǎng)頁應(yīng)用攻擊。對入侵行為將產(chǎn)生報(bào)警，并將數(shù)據(jù)包記入日志。flow選項(xiàng)標(biāo)識數(shù)據(jù)流的方向，在本例中為客戶端向服務(wù)器端的方向。uricontent標(biāo)識請求的地址中包含的內(nèi)容。nocase標(biāo)識其中的字符串判斷不區(qū)分大小寫。classtype標(biāo)識攻擊的類型，sid為規(guī)則的編號。rev是規(guī)則的修訂版本號。 7/22/202257檢測引擎各種檢測功能通過各種插件（Plug-in）模塊來完成。用戶可以編寫自己的模塊來擴(kuò)展新的功能7/22/202258提綱入侵檢測概述入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測方法snort入侵檢測系統(tǒng)入侵檢測技術(shù)