入侵檢測技術

入侵檢測技術安全概述入侵檢測的分類入侵檢測系統(tǒng)的組成入侵檢測系統(tǒng)的設計原理入侵檢測系統(tǒng)的安裝部署入侵檢測的發(fā)展目錄:概述隨著黑客攻擊技術的日漸高明，暴露出來的系統(tǒng)漏洞也越來越多，傳統(tǒng)的操作系統(tǒng)加固技術和防火墻隔離技術等都是靜態(tài)的安全防御技術，對網絡環(huán)境下日新月異的攻擊手段缺乏主動的反應，越來越不能滿足現(xiàn)有系統(tǒng)對安全性的要求。網絡安全需要縱深的、多層次的安全措施。入侵檢測概述入侵者可尋找防火墻背后可能敞開的后門；不能阻止內部攻擊；通常不能提供實時的入侵檢測能力；不能主動跟蹤入侵者；不能對病毒進行有效防護。入侵檢測系統(tǒng)（IDS）是全新的計算機安全措施。它不僅可以檢測來自網絡外部的入侵行為，同時也可以檢測來自網絡內部用戶的未授權活動和誤操作，有效地彌補了防火墻的不足。防火墻技術的局限性防火墻和入侵檢測的關系假如說防火墻是一幢大樓的門鎖，那么入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進入大樓，但不能防止大樓內部個別人員的不良企圖，并且一旦小偷繞過門鎖進入大樓，門鎖就沒有任何作用了。網絡系統(tǒng)中的入侵檢測系統(tǒng)恰恰類似于大樓內的實時監(jiān)視和報警裝置，在安全監(jiān)測中是十分必要的，它被視為防火墻之后的第二道安全閘門?；仡?安全的概念?

保密性（Confidentiality）?

完整性（Integrity）–

數(shù)據(jù)完整性，未被非授權篡改或者損壞–

系統(tǒng)完整性，系統(tǒng)未被非授權操縱，按既定的功能運行?

可用性（Availability）?

鑒別（Authenticity）–

實體身份的鑒別，適用于用戶、進程、系統(tǒng)、信息等?

不可否認性（Non-repudiation）–

防止源點或終點的抵賴?

……面對的威脅?

人因攻擊：社會工程、盜竊行為?

物理攻擊?

數(shù)據(jù)攻擊：信息獲取、非法獲取數(shù)據(jù)、篡改數(shù)據(jù)?

身份冒充：IP欺騙、會話重放、會話劫持?

非法使用：利用系統(tǒng)、網絡的漏洞?

拒絕服務(DoS)主要的傳統(tǒng)安全技術?

加密?

消息摘要、數(shù)字簽名?

身份鑒別：口令、鑒別交換協(xié)議?

訪問控制?

安全協(xié)議：IPSec、SSL?

網絡安全產品與技術：防火墻、VPN?

內容控制:防病毒、內容過濾等?

預防(prevention)、防護（protection)預防措施的局限性?

預防性安全措施采用嚴格的訪問控制和數(shù)據(jù)加密策略來防護，但在復雜系統(tǒng)中，這些策略是不充分的。這些措施都是以減慢交易為代價的。?

大部分損失是由內部引起的–2003年CSI/FBI（Computersecurityinstitute/FederalBureauofInvestigation)指出，82%的損失是內部威脅造成的。P2DR安全模型以安全策略為核心P2DR安全模型?

策略：是模型的核心，具體的實施過程中，策略意味著網絡安全要達到的目標。?

防護：安全規(guī)章、安全配置、安全措施?

檢測：異常監(jiān)視、模式發(fā)現(xiàn)?

響應：報告、記錄、反應、恢復P2DR安全模型Pt>Dt+Rt?

動態(tài)模型?

基于時間的模型–

可以量化–

可以計算入侵檢測是從計算機網絡或計算機系統(tǒng)中的若干關鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機制。何為入侵檢測?何為入侵檢測系統(tǒng)?

入侵檢測系統(tǒng)英文縮寫是IDS（IntrusionDetectionSystem），是指通過對網絡及其上的系統(tǒng)進行監(jiān)視，可以識別惡意的使用行為，并根據(jù)監(jiān)視結果進行不同的安全動作，最大限度地降低可能的入侵危害。因為入侵行為不僅可以來自外部，同時也可來自內部用戶的未授權活動。所以一個有效的入侵檢測系統(tǒng)應當能夠檢測兩種類型的入侵：來自外部世界的闖入和有知識的內部攻擊者。入侵檢測系統(tǒng)基本上不具有訪問控制的能力，它就像一個有著多年經驗、熟悉各種入侵方式的網絡偵察員，通過對數(shù)據(jù)包流的分析，可以從數(shù)據(jù)流中過濾出可疑數(shù)據(jù)包，通過與已知的入侵方式或正常使用方式進行比較，來確定入侵是否發(fā)生和入侵的類型并進行報警。網絡管理員根據(jù)這些報警就可以確切地知道所受到的攻擊并采取相應的措施。因此，可以說入侵檢測系統(tǒng)是網絡管理員經驗積累的一種體現(xiàn)，它極大地減輕了網絡管理員的負擔，降低了對網絡管理員的技術要求，提高了網絡安全管理的效率和準確性。入侵檢測系統(tǒng)的特性為什么需要IDS?

彌補其它安全產品或措施的缺陷?

傳統(tǒng)安全產品的出發(fā)點–

認證機制防止未經授權的使用者登錄用戶的系統(tǒng)–

加密技術防止第三者接觸到機密的文件–

防火墻防止未經許可的數(shù)據(jù)流進入用戶內部網絡為什么需要IDSunicode漏洞攻擊原理是windows對特殊符號的處理時，利用拓展符繞過特殊驗證來進行執(zhí)行一些對系統(tǒng)越權訪問的漏洞IDS的組成檢測引擎控制中心

HUB檢測引擎MonitoredServers控制中心IDS基本結構入侵檢測系統(tǒng)包括三個功能部件（1）信息收集（2）信息分析（3）結果處理入侵檢測系統(tǒng)包括三個功能部件：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結果產生反應的響應部件。IDS的主要功能監(jiān)視用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權操作。審計系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞。對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。能夠實時地對檢測到的入侵行為進行反應。操作系統(tǒng)的審計跟蹤管理。信息搜集信息收集入侵檢測的第一步是信息收集，收集內容包括系統(tǒng)、網絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網絡系統(tǒng)中的若干不同關鍵點（不同網段和不同主機）收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點信息收集入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網絡系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息信息收集的來源系統(tǒng)或網絡的日志文件網絡流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息分析信息分析

模式匹配統(tǒng)計分析完整性分析，往往用于事后分析模式匹配模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生完整性分析完整性分析主要關注某個文件或對象是否被更改這經常包括文件和目錄的內容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應用程序方面特別有效結果處理入侵檢測性能關鍵參數(shù)誤報(falsepositive)：如果系統(tǒng)錯誤地將異?；顒佣x為入侵漏報(falsenegative)：如果系統(tǒng)未能檢測出真正的入侵行為入侵檢測的分類(1)按照數(shù)據(jù)來源：基于主機：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機優(yōu)點是可精確判斷入侵事件，并及時進行反應，不受網絡加密的影響。缺點是會占用寶貴的主機資源。另外，能否及時采集到審計也是這種系統(tǒng)的弱點之一，因為入侵者會將主機審計子系統(tǒng)作為攻擊目標以避開IDS?；诰W絡：系統(tǒng)獲取的數(shù)據(jù)是網絡傳輸?shù)臄?shù)據(jù)包，保護的是網絡的運行這類系統(tǒng)不需要主機通過嚴格的審計，主機資源消耗少，可提供對網絡通用的保護而無需顧及異構主機的不同架構。但它只能監(jiān)視經過本網段的活動，且精確度較差，在交換網絡環(huán)境下難于配置，防欺騙能力也較差。入侵檢測的分類(1)基于路由器：通過對網關中相關信息的提取，提供對整個信息基礎設施的保護，確保大型網絡計算機之間安全、可靠的連接。一般安裝在路由器上，但負載變化對網絡性能的影響很大?；旌闲鸵粋€完備的入侵檢測系統(tǒng)一定是基于主機和基于網絡兩種方式兼?zhèn)涞姆植际较到y(tǒng)。入侵檢測的分類（2）按照分析方法（檢測方法）

–

異常檢測模型（AnomalyDetection):首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。–

誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。異常檢測（AnomalyDetection），也稱基于行為的檢測，是指根據(jù)使用者的行為或資源使用情況來判斷是否發(fā)生了入侵，而不依賴于具體行為是否出現(xiàn)來檢測。該技術首先假設網絡攻擊行為是不常見的或是異常的，區(qū)別于所有正常行為。如果能夠為用戶和系統(tǒng)的所有正常行為總結活動規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當前捕獲到的網絡行為與行為模型相對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。例如，系統(tǒng)把用戶早六點到晚八點登錄公司服務器定義為正常行為，若發(fā)現(xiàn)有用戶在晚八點到早六點之間（如凌晨一點）登錄公司服務器，則把該行為標識為異常行為。異常檢測試圖用定量方式描述常規(guī)的或可接受的行為，從而區(qū)別非常規(guī)的、潛在的攻擊行為。9.2.1異常檢測技術該技術的前提條件是入侵活動是異?；顒拥囊粋€子集，理想的情況是：異?；顒蛹c入侵活動集相等。但事實上，二者并不總是相等的，有4種可能性：（1）是入侵但非異常；（2）非入侵但表現(xiàn)異常；（3）非入侵且非異常；（4）是入侵且異常。9.2.1異常檢測技術該技術主要包括以下幾種方法：1．用戶行為概率統(tǒng)計模型這種方法是產品化的入侵檢測系統(tǒng)中常用的方法，它是基于對用戶歷史行為建模以及在早期的證據(jù)或模型的基礎上，審計系統(tǒng)的被檢測用戶對系統(tǒng)的使用情況，然后根據(jù)系統(tǒng)內部保存的用戶行為概率統(tǒng)計模型進行檢測，并將那些與正常活動之間存在較大統(tǒng)計偏差的活動標識為異?；顒?。它能夠學習主體的日常行為，根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當用戶行為與歷史行為習慣不一致時，就會被視為異常。9.2.1異常檢測技術在統(tǒng)計方法中，需要解決以下四個問題：(1)選取有效的統(tǒng)計數(shù)據(jù)測量點，生成能夠反映主體特征的會話向量；(2)根據(jù)主體活動產生的審計記錄，不斷更新當前主體活動的會話向量；(3)采用統(tǒng)計方法分析數(shù)據(jù)，判斷當前活動是否符合主體的歷史行為特征；(4)隨著時間變化，學習主體的行為特征，更新歷史記錄。9.2.1異常檢測技術2．預測模式生成它基于如下假設：審計事件的序列不是隨機的，而是符合可識別的模式的。與純粹的統(tǒng)計方法相比，它增加了對事件順序與相互關系的分析，從而能檢測出統(tǒng)計方法所不能檢測的異常事件。這一方法首先根據(jù)已有的事件集合按時間順序歸納出一系列規(guī)則，在歸納過程中，隨著新事件的加入，它可以不斷改變規(guī)則集合，最終得到的規(guī)則能夠準確地預測下一步要發(fā)生的事件。9.2.1異常檢測技術3．神經網絡通過訓練神經網絡，使之能夠在給定前n個動作或命令的前提下預測出用戶下一動作或命令。網絡經過用戶常用的命令集的訓練，經過一段時間后，便可根據(jù)網絡中已存在的用戶特征文件，來匹配真實的命令。任何不匹配的預測事件或命令，都將被視為異常行為而被檢測出來。該方法的好處是：能夠很好的處理噪音數(shù)據(jù)，并不依賴于對所處理的數(shù)據(jù)的統(tǒng)計假設，不用考慮如何選擇特征向量的問題，容易適應新的用戶群。缺點是：命令窗口的選擇不當容易造成誤報和漏報；網絡的拓撲結構不易確定；入侵者能夠訓練該網絡來適應入侵。9.2.1異常檢測技術誤用檢測(MisuseDetection)，也稱基于知識的檢測，它是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。它通過分析入侵過程的特征、條件、排列以及事件間的關系來描述入侵行為的跡象。誤用檢測技術首先要定義違背安全策略事件的特征，判別所搜集到的數(shù)據(jù)特征是否在所搜集到的入侵模式庫中出現(xiàn)。這種方法與大部分殺毒軟件采用的特征碼匹配原理類似。其原理如圖9.5所示。9.2.2誤用檢測技術9.2.2誤用檢測技術該技術的前提是假設所有的網絡攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網絡攻擊的特征總結出來并建立一個入侵信息庫，那么將當前捕獲到的網絡行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當前行為就被認定為入侵行為。9.2.2誤用檢測技術該技術主要包括以下方法：1．專家系統(tǒng)用專家系統(tǒng)對入侵進行檢測，經常是針對有特征的入侵行為。該技術根據(jù)安全專家對可疑行為的分析經驗來形成一套推理規(guī)則，然后在此基礎上建立相應的專家系統(tǒng)，由此專家系統(tǒng)自動對所涉及入侵行為進行分析。所謂的規(guī)則，即是知識，專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。因此，該方法應當能夠隨著經驗的積累而利用其自學習能力進行規(guī)則的擴充和修正。9.2.2誤用檢測技術2．模型推理入侵者在攻擊一個系統(tǒng)時往往采用一定的行為序列，如猜測口令的行為序列，這種行為序列構成了具有一定行為特征的模型。該技術根據(jù)入侵者在進行入侵時所執(zhí)行的某些行為程序的特征，建立一種入侵行為模型，并根據(jù)這種模型所代表的入侵意圖的行為特征，來判斷用戶執(zhí)行的操作是否屬于入侵行為。該方法也是建立在對當前已知的入侵行為程序的基礎之上的，對未知的入侵方法所執(zhí)行的行為程序的模型識別需要進一步的學習和擴展。與專家系統(tǒng)通常放棄處理那些不確定的中間結論的缺點相比，這一方法的優(yōu)點在于它基于完善的不確定性推理的數(shù)學理論。9.2.2誤用檢測技術3．狀態(tài)轉換分析狀態(tài)轉換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉入被入侵狀態(tài)。該方法首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉換的條件，即導致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作（特征事件）。然后用狀態(tài)轉換圖來表示每一個狀態(tài)和特征事件。當分析審計事件時，若根據(jù)對應的條件布爾表達式系統(tǒng)從安全狀態(tài)轉移到不安全的狀態(tài)，則把該事件標記為入侵事件。系統(tǒng)通過對事件序列進行分析來判斷入侵是否發(fā)生。9.2.2誤用檢測技術4．模式匹配該方法將已知的入侵特征編碼成與審計記錄相符合的模式，并通過將新的審計事件與已知入侵模式相比較來判斷是否發(fā)生了入侵。當新的審計事件產生時，該方法將尋找與它相匹配的已知入侵模式。如果找到，則意味著發(fā)生了入侵。9.2.2誤用檢測技術5．鍵盤監(jiān)控該方法假設入侵對應特定的擊鍵序列模式，通過監(jiān)測用戶擊鍵模式，并將這一模式與入侵模式進行匹配來檢測入侵。其缺點是：在沒有操作系統(tǒng)支持的情況下，缺少捕獲用戶擊鍵的可靠方法，存在無數(shù)擊鍵方式表示同一種攻擊。而且，用戶注冊的shell提供了簡寫命令序列工具，可產生所謂的別名，類似宏定義。因為這種技術僅僅分析擊鍵，所以不能檢測到惡意程序只執(zhí)行結果的自動攻擊。9.2.2誤用檢測技術入侵檢測的分類（3）按系統(tǒng)各模塊的運行方式–

集中式：系統(tǒng)的各個模塊包括數(shù)據(jù)的收集分析集中在一臺主機上運行。目前，一些所謂的分布式入侵檢測系統(tǒng)只是在數(shù)據(jù)采集上實現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)和識別還是由單一程序來完成，因此這種入侵檢測系統(tǒng)實際上還是集中式的。入侵檢測的分類（3）入侵檢測的分類（3）集中式結構優(yōu)點：數(shù)據(jù)的集中處理可以更加準確地分析可能的入侵行為。集中式結構缺點：（1）可擴展性差。在單一主機上處理所有的信息限制了受監(jiān)視網絡的規(guī)模；分布式的數(shù)據(jù)收集常會引起網絡數(shù)據(jù)過載問題。（2）難于重新配置和添加新功能。要使新的設置和功能生效，IDS通常要重新啟動。（3）中央分析器是個單一失效點。如果中央分析器受到入侵者的破壞，那么整個網絡將失去保護。–

分布式：系統(tǒng)的各個模塊分布在不同的計算機和設備上。隨著入侵檢測產品日益在規(guī)模龐大的企業(yè)中應用，分布式技術也開始融入到入侵檢測產品中來。這種分布式結構采用多個代理在網絡各部分分別進行入侵檢測，并協(xié)同處理可能的入侵行為。優(yōu)點：能夠較好地實現(xiàn)數(shù)據(jù)的監(jiān)聽，可以檢測內部和外部的的入侵行為。缺點：不能完全解決集中式入侵檢測的缺點。入侵檢測的分類（3）–

分層式：由于單個主機資源的限制和攻擊信息的分布，在針對高層次攻擊（如協(xié)同攻擊）上，需要多個檢測單元進行協(xié)同處理，而檢測單元通常是智能代理。因此，考慮采用分層的結構來檢測越來越復雜的入侵是比較好的選擇。入侵檢測的分類（3）在樹形分層體系中，最底層的代理負責收集所有的基本信息，然后對這些信息進行簡單的處理，并完成簡單的判斷和處理。其特點是所處理的數(shù)據(jù)量大、速度快、效率高，但它只能檢測某些簡單的攻擊。中間層代理起承上啟下的作用，一方面可以接受并處理下層節(jié)點處理后的數(shù)據(jù)，另一方面可以進行較高層次的關聯(lián)分析、判斷和結果輸出，并向高層節(jié)點進行報告。中間節(jié)點的加入減輕了中央控制臺的負擔，增強了系統(tǒng)的伸縮性。入侵檢測的分類（3）最高層節(jié)點主要負責在整體上對各級節(jié)點進行管理和協(xié)調，此外，它還可根據(jù)環(huán)境的要求動態(tài)調整節(jié)點層次關系圖，實現(xiàn)系統(tǒng)的動態(tài)配置。網絡中攻擊與防護的對抗是一個長期復雜的過程。從長遠的安全角度考慮，一個好的體系結構將提高整個安全系統(tǒng)的自適應性和進化能力。然而，目前由于通用標準的缺乏，入侵檢測系統(tǒng)內部各部件缺乏有效的信息共享和協(xié)同機制，限制了攻擊的檢測能力，并且入侵檢測系統(tǒng)之間也難以交換信息和協(xié)同工作，降低了檢測效率。入侵檢測的分類（3）入侵檢測系統(tǒng)的設計原理基于主機的入侵檢測系統(tǒng)系統(tǒng)分析主機產生的數(shù)據(jù)（應用程序及操作系統(tǒng)的事件日志）由于內部人員的威脅正變得更重要。–

基于主機的檢測威脅–

基于主機的入侵檢測結構–

優(yōu)點及問題主機的數(shù)據(jù)源?

操作系統(tǒng)事件日志?

應用程序日志–

系統(tǒng)日志–

關系數(shù)據(jù)庫–

Web服務器基于主機的檢測威脅特權濫用：當用戶具有root權限、管理員特權時，該用戶以非授權方式使用特權。–

前職員使用舊帳戶–

管理員創(chuàng)建后門帳戶關鍵數(shù)據(jù)的訪問及修改

–

學生改變成績、職員修改業(yè)績、非授權泄露、修改WEB站點安全配置的變化–

用戶沒有激活屏保、–

激活guest帳戶基于主機的入侵檢測系統(tǒng)結構基于主機的入侵檢測系統(tǒng)通常是基于代理的，代理是運行在目標系統(tǒng)上的可執(zhí)行程序，與中央控制計算機通信集中式：原始數(shù)據(jù)在分析之前要先發(fā)送到中央位置分布式：原始數(shù)據(jù)在目標系統(tǒng)上實時分析，只有告警命令被發(fā)送給控制臺目標系統(tǒng)審計記錄收集方法審計記錄預處理異常檢測誤用檢測安全管理員接口審計記錄數(shù)據(jù)歸檔/查詢審計記錄數(shù)據(jù)庫審計記錄基于審計的入侵檢測系統(tǒng)結構示意圖集中式基于主機的入侵檢測結集中式檢測的優(yōu)缺點優(yōu)點：不會降低目標機的性能統(tǒng)計行為信息多主機標志、用于支持起訴的原始數(shù)據(jù)缺點：不能進行實時檢測不能實時響應影響網絡通信量分布式基于主機的入侵檢測結分布式檢測的優(yōu)缺點優(yōu)點：實時告警實時響應缺點：降低目標機的性能沒有統(tǒng)計行為信息沒有多主機標志沒有用于支持起訴的原始數(shù)據(jù)降低了數(shù)據(jù)的辨析能力系統(tǒng)離線時不能分析數(shù)據(jù)基于主機入侵檢測系統(tǒng)工作原理操作模式操作主機入侵檢測系統(tǒng)的方式–

警告：用于檢測關鍵任務誤用–

監(jiān)視：更盡力地觀察幾個主體的行為–

毀壞情況評估：確定計算機受損的程度–

遵從性：用于確定用戶是否在遵守安全策略基于主機的入侵檢測的好處?

威懾內部人員?

檢測?

通告及響應?

毀壞情況評估?

攻擊預測?

訴訟支持?

行為數(shù)據(jù)辨析基于網絡的入侵檢測系統(tǒng)入侵檢測系統(tǒng)分析網絡數(shù)據(jù)包基于網絡的檢測威脅基于網絡的結構優(yōu)點及問題基于網絡的檢測威脅非授權訪問數(shù)據(jù)/資源的竊取拒絕服務管理/配置入侵分析引擎器網絡安全數(shù)據(jù)庫嗅探器嗅探器分析結果基于網絡的入侵檢測系統(tǒng)模型分布式網絡節(jié)點結構為解決高速網絡上的丟包問題，1999年6月，出現(xiàn)的一種新的結構，將檢測引擎分布到網絡上的每臺計算機上每個檢測引擎檢查流經他的網絡分組，然后檢測引擎相互通信，主控制臺將所有的告警聚集、關聯(lián)起來數(shù)據(jù)采集構件應急處理構件通信傳輸構件檢測分析構件管理構件安全知識庫分布式入侵檢測系統(tǒng)結構示意圖基于網絡入侵檢測系統(tǒng)工作原理網絡基于網絡的入侵檢測的好處威懾外部人員檢測自動響應及報告藍盾入侵檢測系統(tǒng)藍盾網絡入侵檢測系