計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)

第5章入侵檢測(cè)技術(shù)內(nèi)容提要：入侵檢測(cè)概述入侵檢測(cè)的技術(shù)實(shí)現(xiàn)分布式入侵檢測(cè)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)入侵檢測(cè)系統(tǒng)示例本章小結(jié)5.1入侵檢測(cè)概述

入侵檢測(cè)技術(shù)研究最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報(bào)告，他首先提出了入侵檢測(cè)的概念。1987年DorothyDenning提出了入侵檢測(cè)系統(tǒng)（IDS，IntrusionDetectionSystem）的抽象模型（如圖5-1所示），首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù)相比，IDS是全新的計(jì)算機(jī)安全措施。返回本章首頁(yè)返回本章首頁(yè)

入侵檢測(cè)技術(shù)研究最早可追溯到1980年JamesP.Aderson所寫的一份技術(shù)報(bào)告，他首先提出了入侵檢測(cè)的概念。1987年DorothyDenning提出了入侵檢測(cè)系統(tǒng)（IDS，IntrusionDetectionSystem）的抽象模型（如圖5-1所示），首次提出了入侵檢測(cè)可作為一種計(jì)算機(jī)系統(tǒng)安全防御措施的概念，與傳統(tǒng)的加密和訪問(wèn)控制技術(shù)相比，IDS是全新的計(jì)算機(jī)安全措施。返回本章首頁(yè)1988年TeresaLunt等人進(jìn)一步改進(jìn)了Denning提出的入侵檢測(cè)模型，并創(chuàng)建了IDES（IntrusionDetectionExpertSystem），該系統(tǒng)用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無(wú)關(guān)的實(shí)時(shí)檢測(cè)思想，1995年開發(fā)的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作為IDES完善后的版本可以檢測(cè)出多個(gè)主機(jī)上的入侵。返回本章首頁(yè)1990年，Heberlein等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè)——網(wǎng)絡(luò)安全監(jiān)視器NSM（NetworkSecurityMonitor）。1991年,NADIR（NetworkAnomalyDetectionandIntrusionReporter）與DIDS（DistributeIntrusionDetectionSystem）提出了通過(guò)收集和合并處理來(lái)自多個(gè)主機(jī)的審計(jì)信息可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊。返回本章首頁(yè)1994年，MarkCrosbie和GeneSpafford建議使用自治代理（autonomousagents）以提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域（如軟件代理，softwareagent）正在進(jìn)行的相關(guān)研究。另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性不足的方法于1996年提出，這就是GrIDS（Graph-basedIntrusionDetectionSystem）的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁(yè)近年來(lái)，入侵檢測(cè)技術(shù)研究的主要?jiǎng)?chuàng)新有：Forrest等將免疫學(xué)原理運(yùn)用于分布式入侵檢測(cè)領(lǐng)域；1998年RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)入侵檢測(cè)；以及采用狀態(tài)轉(zhuǎn)換分析、數(shù)據(jù)挖掘和遺傳算法等進(jìn)行誤用和異常檢測(cè)。返回本章首頁(yè)5.1.1入侵檢測(cè)原理

圖5-2給出了入侵檢測(cè)的基本原理圖。入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)（MisuseDetection）或異常檢測(cè)（AnomalyDetection）的方式，發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。返回本章首頁(yè)圖5-2入侵檢測(cè)原理框圖

返回本章首頁(yè)入侵檢檢測(cè)系系統(tǒng)（（IntrusionDetectionSystem，，IDS））就是執(zhí)行入入侵檢測(cè)任任務(wù)的硬件件或軟件產(chǎn)產(chǎn)品。IDS通過(guò)實(shí)時(shí)的的分析，檢檢查特定的的攻擊模式式、系統(tǒng)配配置、系統(tǒng)統(tǒng)漏洞、存存在缺陷的的程序版本本以及系統(tǒng)統(tǒng)或用戶的的行為模式式，監(jiān)控與與安全有關(guān)關(guān)的活動(dòng)。。一個(gè)基本的的入侵檢測(cè)測(cè)系統(tǒng)需要要解決兩個(gè)個(gè)問(wèn)題：一一是如何充充分并可靠靠地提取描描述行為特特征的數(shù)據(jù)據(jù)；二是如如何根據(jù)特特征數(shù)據(jù)，，高效并準(zhǔn)準(zhǔn)確地判定定行為的性性質(zhì)。返回本章首首頁(yè)5.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)環(huán)境和系統(tǒng)統(tǒng)安全策略略的差異，，入侵檢測(cè)測(cè)系統(tǒng)在具具體實(shí)現(xiàn)上上也有所不不同。從系系統(tǒng)構(gòu)成上上看，入侵侵檢測(cè)系統(tǒng)統(tǒng)應(yīng)包括事事件提取、、入侵分析析、入侵響響應(yīng)和遠(yuǎn)程程管理四大大部分，另另外還可能能結(jié)合安全全知識(shí)庫(kù)、、數(shù)據(jù)存儲(chǔ)儲(chǔ)等功能模模塊，提供供更為完善善的安全檢檢測(cè)及數(shù)據(jù)據(jù)分析功能能（如圖5-3所示示）。返回本章首首頁(yè)圖5-3入入侵檢測(cè)測(cè)系統(tǒng)結(jié)構(gòu)構(gòu)返回本章首首頁(yè)入侵檢測(cè)的的思想源于于傳統(tǒng)的系系統(tǒng)審計(jì)，，但拓寬了了傳統(tǒng)審計(jì)計(jì)的概念，，它以近乎乎不間斷的的方式進(jìn)行行安全檢測(cè)測(cè)，從而可可形成一個(gè)個(gè)連續(xù)的檢檢測(cè)過(guò)程。。這通常是是通過(guò)執(zhí)行行下列任務(wù)務(wù)來(lái)實(shí)現(xiàn)的的：監(jiān)視、分析析用戶及系系統(tǒng)活動(dòng)；；系統(tǒng)構(gòu)造和和弱點(diǎn)的審審計(jì)；識(shí)別分析知知名攻擊的的行為特征征并告警；；異常行為特特征的統(tǒng)計(jì)計(jì)分析；評(píng)估重要系系統(tǒng)和數(shù)據(jù)據(jù)文件的完完整性；操作系統(tǒng)的的審計(jì)跟蹤蹤管理，并并識(shí)別用戶戶違反安全全策略的行行為。返回本章首首頁(yè)5.1.3系統(tǒng)分類由于功能和和體系結(jié)構(gòu)構(gòu)的復(fù)雜性性，入侵檢檢測(cè)按照不不同的標(biāo)準(zhǔn)準(zhǔn)有多種分分類方法。?？煞謩e從從數(shù)據(jù)源、、檢測(cè)理論論、檢測(cè)時(shí)時(shí)效三個(gè)方方面來(lái)描述述入侵檢測(cè)測(cè)系統(tǒng)的類類型。1．基于數(shù)據(jù)據(jù)源的分類類通?？梢园寻讶肭謾z測(cè)測(cè)系統(tǒng)分為為五類，即即基于主機(jī)機(jī)、基于網(wǎng)網(wǎng)絡(luò)、混合合入侵檢測(cè)測(cè)、基于網(wǎng)網(wǎng)關(guān)的入侵侵檢測(cè)系統(tǒng)統(tǒng)以及文件件完整性檢檢查系統(tǒng)。。返回本章首首頁(yè)2．基于檢測(cè)測(cè)理論的分分類從具體的檢檢測(cè)理論上上來(lái)說(shuō)，入入侵檢測(cè)又又可分為異異常檢測(cè)和和誤用檢測(cè)測(cè)。異常檢測(cè)（（AnomalyDetection）指根據(jù)使用用者的行為為或資源使使用狀況的的正常程度度來(lái)判斷是是否入侵，，而不依賴賴于具體行行為是否出出現(xiàn)來(lái)檢測(cè)測(cè)。誤用檢測(cè)（（MisuseDetection）指運(yùn)用已知知攻擊方法法，根據(jù)已已定義好的的入侵模式式，通過(guò)判判斷這些入入侵模式是是否出現(xiàn)來(lái)來(lái)檢測(cè)。返回本章首首頁(yè)3．基于檢測(cè)測(cè)時(shí)效的分分類IDS在處理數(shù)據(jù)據(jù)的時(shí)候可可以采用實(shí)實(shí)時(shí)在線檢檢測(cè)方式，，也可以采采用批處理理方式，定定時(shí)對(duì)處理理原始數(shù)據(jù)據(jù)進(jìn)行離線線檢測(cè)，這這兩種方法法各有特點(diǎn)點(diǎn)（如圖5-5所所示）。離線檢測(cè)方方式將一段段時(shí)間內(nèi)的的數(shù)據(jù)存儲(chǔ)儲(chǔ)起來(lái)，然然后定時(shí)發(fā)發(fā)給數(shù)據(jù)處處理單元進(jìn)進(jìn)行分析，，如果在這這段時(shí)間內(nèi)內(nèi)有攻擊發(fā)發(fā)生就報(bào)警警。在線檢檢測(cè)方式的的實(shí)時(shí)處理理是大多數(shù)數(shù)IDS所采用的辦辦法，由于于計(jì)算機(jī)硬硬件速度的的提高，使使得對(duì)攻擊擊的實(shí)時(shí)檢檢測(cè)和響應(yīng)應(yīng)成為可能能。返回本章首首頁(yè)返回本章首首頁(yè)5.2入侵檢測(cè)的的技術(shù)實(shí)現(xiàn)現(xiàn)對(duì)于入侵檢檢測(cè)的研究究，從早期期的審計(jì)跟跟蹤數(shù)據(jù)分分析，到實(shí)實(shí)時(shí)入侵檢檢測(cè)系統(tǒng)，，到目前應(yīng)應(yīng)用于大型型網(wǎng)絡(luò)的分分布式檢測(cè)測(cè)系統(tǒng)，基基本上已發(fā)發(fā)展成為具具有一定規(guī)規(guī)模和相應(yīng)應(yīng)理論的研研究領(lǐng)域。。入侵檢測(cè)測(cè)的核心問(wèn)問(wèn)題在于如如何對(duì)安全全審計(jì)數(shù)據(jù)據(jù)進(jìn)行分析析，以檢測(cè)測(cè)其中是否否包含入侵侵或異常行行為的跡象象。這里，，我們先從從誤用檢測(cè)測(cè)和異常檢檢測(cè)兩個(gè)方方面介紹當(dāng)當(dāng)前關(guān)于入入侵檢測(cè)技技術(shù)的主流流技術(shù)實(shí)現(xiàn)現(xiàn)，然后對(duì)對(duì)其它類型型的檢測(cè)技技術(shù)作簡(jiǎn)要要介紹。返回本章首首頁(yè)5.2.1入侵檢測(cè)分分析模型分析是入侵侵檢測(cè)的核核心功能，，它既能簡(jiǎn)簡(jiǎn)單到像一一個(gè)已熟悉悉日志情況況的管理員員去建立決決策表，也也能復(fù)雜得得像一個(gè)集集成了幾百百萬(wàn)個(gè)處理理的非參數(shù)數(shù)系統(tǒng)。入入侵檢測(cè)的的分析處理理過(guò)程可分分為三個(gè)階階段：構(gòu)建建分析器，，對(duì)實(shí)際現(xiàn)現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)進(jìn)行分析，，反饋和提提煉過(guò)程。。其中，前前兩個(gè)階段段都包含三三個(gè)功能：：數(shù)據(jù)處理理、數(shù)據(jù)分分類（數(shù)據(jù)據(jù)可分為入入侵指示、、非入侵指指示或不確確定）和后后處理。返回本章首首頁(yè)5.2.2誤用檢測(cè)（（MisuseDetection））誤用檢測(cè)是是按照預(yù)定定模式搜尋尋事件數(shù)據(jù)據(jù)的，最適適用于對(duì)已已知模式的的可靠檢測(cè)測(cè)。執(zhí)行誤誤用檢測(cè)，，主要依賴賴于可靠的的用戶活動(dòng)動(dòng)記錄和分分析事件的的方法。1．條件概率率預(yù)測(cè)法條件概率預(yù)預(yù)測(cè)法是基基于統(tǒng)計(jì)理理論來(lái)量化化全部外部部網(wǎng)絡(luò)事件件序列中存存在入侵事事件的可能能程度。返回本章首首頁(yè)2．產(chǎn)生式/專家系統(tǒng)統(tǒng)用專家系統(tǒng)統(tǒng)對(duì)入侵進(jìn)進(jìn)行檢測(cè)，，主要是檢檢測(cè)基于特特征的入侵侵行為。所所謂規(guī)則，，即是知識(shí)識(shí)，專家系系統(tǒng)的建立立依賴于知知識(shí)庫(kù)的完完備性，而而知識(shí)庫(kù)的的完備性又又取決于審審計(jì)記錄的的完備性與與實(shí)時(shí)性。。產(chǎn)生式/專專家系統(tǒng)是是誤用檢測(cè)測(cè)早期的方方案之一，，在MIDAS、IDES、NIDES、、DIDS和CMDS中都使用了了這種方法法。返回本章首首頁(yè)3．狀態(tài)轉(zhuǎn)換換方法狀態(tài)轉(zhuǎn)換方方法使用系系統(tǒng)狀態(tài)和和狀態(tài)轉(zhuǎn)換換表達(dá)式來(lái)來(lái)描述和檢檢測(cè)入侵，，采用最優(yōu)優(yōu)模式匹配配技巧來(lái)結(jié)結(jié)構(gòu)化誤用用檢測(cè)，增增強(qiáng)了檢測(cè)測(cè)的速度和和靈活性。。目前，主主要有三種種實(shí)現(xiàn)方法法：狀態(tài)轉(zhuǎn)轉(zhuǎn)換分析、、有色Petri-Net和語(yǔ)言/應(yīng)應(yīng)用編程接接口（API）。。返回本章首首頁(yè)返回本章首首頁(yè)5．KeystrokeMonitor和基于模型型的方法KeystrokeMonitor是一種簡(jiǎn)單單的入侵檢檢測(cè)方法，，它通過(guò)分分析用戶擊擊鍵序列的的模式來(lái)檢檢測(cè)入侵行行為，常用用于對(duì)主機(jī)機(jī)的入侵檢檢測(cè)。該方方法具有明明顯的缺點(diǎn)點(diǎn)，首先，，批處理或或Shell程序可以不不通過(guò)擊鍵鍵而直接調(diào)調(diào)用系統(tǒng)攻攻擊命令序序列；其次次，操作系系統(tǒng)通常不不提供統(tǒng)一一的擊鍵檢檢測(cè)接口，，需通過(guò)額額外的鉤子子函數(shù)（Hook））來(lái)監(jiān)測(cè)擊鍵鍵。返回本章首首頁(yè)5.2.3異常檢測(cè)（（AnomalyDetection）異常檢測(cè)基基于一個(gè)假假定：用戶戶的行為是是可預(yù)測(cè)的的、遵循一一致性模式式的，且隨隨著用戶事事件的增加加異常檢測(cè)測(cè)會(huì)適應(yīng)用用戶行為的的變化。用用戶行為的的特征輪廓廓在異常檢檢測(cè)中是由由度量（measure）集來(lái)描述，，度量是特特定網(wǎng)絡(luò)行行為的定量量表示，通通常與某個(gè)個(gè)檢測(cè)閥值值或某個(gè)域域相聯(lián)系。。異常檢測(cè)可可發(fā)現(xiàn)未知知的攻擊方方法，體現(xiàn)現(xiàn)了強(qiáng)健的的保護(hù)機(jī)制制，但對(duì)于于給定的度度量集能否否完備到表表示所有的的異常行為為仍需要深深入研究。。返回本章首首頁(yè)1．Denning的原始模型型DorothyDenning于1986年給出了入入侵檢測(cè)的的IDES模型，她認(rèn)認(rèn)為在一個(gè)個(gè)系統(tǒng)中可可以包括四四個(gè)統(tǒng)計(jì)模模型，每個(gè)個(gè)模型適合合于一個(gè)特特定類型的的系統(tǒng)度量量。（1）可操作模模型（2）平均和標(biāo)標(biāo)準(zhǔn)偏差模模型（3）多變量模模型（4）Markov處理模型返回本章首首頁(yè)2．量化分分析異常檢測(cè)最最常用的方方法就是將將檢驗(yàn)規(guī)則則和屬性以以數(shù)值形式式表示的量量化分析，，這種度量量方法在Denning的可操作模模型中有所所涉及。量量化分析通通過(guò)采用從從簡(jiǎn)單的加加法到比較較復(fù)雜的密密碼學(xué)計(jì)算算得到的結(jié)結(jié)果作為誤誤用檢測(cè)和和異常檢測(cè)測(cè)統(tǒng)計(jì)模型型的基礎(chǔ)。。（1）閥值檢驗(yàn)驗(yàn)（2）基于目標(biāo)標(biāo)的集成檢檢查（3）量化分析析和數(shù)據(jù)精精簡(jiǎn)返回本章首首頁(yè)3．統(tǒng)計(jì)度量統(tǒng)計(jì)度量方方法是產(chǎn)品品化的入侵侵檢測(cè)系統(tǒng)統(tǒng)中常用的的方法，常常見于異常常檢測(cè)。運(yùn)運(yùn)用統(tǒng)計(jì)方方法，有效效地解決了了四個(gè)問(wèn)題題：（1））選取有效效的統(tǒng)計(jì)數(shù)數(shù)據(jù)測(cè)量點(diǎn)點(diǎn)，生成能能夠反映主主體特征的的會(huì)話向量量；（2））根據(jù)主體體活動(dòng)產(chǎn)生生的審計(jì)記記錄，不斷斷更新當(dāng)前前主體活動(dòng)動(dòng)的會(huì)話向向量；（3）采用統(tǒng)統(tǒng)計(jì)方法分分析數(shù)據(jù)，，判斷當(dāng)前前活動(dòng)是否否符合主體體的歷史行行為特征；；（4）隨隨著時(shí)間推推移，學(xué)習(xí)習(xí)主體的行行為特征，，更新歷史史記錄。返回本章首首頁(yè)4．非參數(shù)統(tǒng)計(jì)計(jì)度量非參數(shù)統(tǒng)計(jì)計(jì)方法通過(guò)過(guò)使用非數(shù)數(shù)據(jù)區(qū)分技技術(shù)，尤其其是群集分分析技術(shù)來(lái)來(lái)分析參數(shù)數(shù)方法無(wú)法法考慮的系系統(tǒng)度量。。群集分析析的基本思思想是，根根據(jù)評(píng)估標(biāo)標(biāo)準(zhǔn)（也稱稱為特性））將收集到到的大量歷歷史數(shù)據(jù)（（一個(gè)樣本本集）組織織成群，通通過(guò)預(yù)處理理過(guò)程，將將與具體事事件流（經(jīng)經(jīng)常映射為為一個(gè)具體體用戶）相相關(guān)的特性性轉(zhuǎn)化為向向量表示，，再采用群群集算法將將彼此比較較相近的向向量成員組組織成一個(gè)個(gè)行為類，，這樣使用用該分析技技術(shù)的實(shí)驗(yàn)驗(yàn)結(jié)果將會(huì)會(huì)表明用何何種方式構(gòu)構(gòu)成的群可可以可靠地地對(duì)用戶的的行為進(jìn)行行分組并識(shí)識(shí)別。返回本章首首頁(yè)5．基于規(guī)則則的方法法上面討論論的異常常檢測(cè)主主要基于于統(tǒng)計(jì)方方法，異異常檢測(cè)測(cè)的另一一個(gè)變種種就是基基于規(guī)則則的方法法。與統(tǒng)統(tǒng)計(jì)方法法不同的的是基于于規(guī)則的的檢測(cè)使使用規(guī)則則集來(lái)表表示和存存儲(chǔ)使用用模式。。（1）Wisdom&Sense方法（2）基基于時(shí)間間的引導(dǎo)導(dǎo)機(jī)（TIM））返回本章章首頁(yè)5.2.4其它檢測(cè)測(cè)技術(shù)這些技術(shù)術(shù)不能簡(jiǎn)簡(jiǎn)單地歸歸類為誤誤用檢測(cè)測(cè)或是異異常檢測(cè)測(cè)，而是是提供了了一種有有別于傳傳統(tǒng)入侵侵檢測(cè)視視角的技技術(shù)層次次，例如如免疫系系統(tǒng)、基基因算法法、數(shù)據(jù)據(jù)挖掘、、基于代代理（Agent）的檢測(cè)等等，它們們或者提提供了更更具普遍遍意義的的分析技技術(shù)，或或者提出出了新的的檢測(cè)系系統(tǒng)架構(gòu)構(gòu)，因此此無(wú)論對(duì)對(duì)于誤用用檢測(cè)還還是異常常檢測(cè)來(lái)來(lái)說(shuō)，都都可以得得到很好好的應(yīng)用用。返回本章章首頁(yè)1．神經(jīng)經(jīng)網(wǎng)絡(luò)（（NeuralNetwork）作為人工工智能（（AI）的一個(gè)重重要分支支，神經(jīng)經(jīng)網(wǎng)絡(luò)（（NeuralNetwork）在入侵檢檢測(cè)領(lǐng)域域得到了了很好的的應(yīng)用，，它使用用自適應(yīng)應(yīng)學(xué)習(xí)技技術(shù)來(lái)提提取異常常行為的的特征，，需要對(duì)對(duì)訓(xùn)練數(shù)數(shù)據(jù)集進(jìn)進(jìn)行學(xué)習(xí)習(xí)以得出出正常的的行為模模式。這這種方法法要求保保證用于于學(xué)習(xí)正正常模式式的訓(xùn)練練數(shù)據(jù)的的純潔性性，即不不包含任任何入侵侵或異常常的用戶戶行為。。返回本章章首頁(yè)2．免疫學(xué)方方法NewMexico大學(xué)的StephanieForrest提出了將將生物免免疫機(jī)制制引入計(jì)計(jì)算機(jī)系系統(tǒng)的安安全保護(hù)護(hù)框架中中。免疫疫系統(tǒng)中中最基本本也是最最重要的的能力是是識(shí)別“自我/非自我”（self/nonself），換句話講講，它能能夠識(shí)別別哪些組組織是屬屬于正常常機(jī)體的的，不屬屬于正常常的就認(rèn)認(rèn)為是異異常，這這個(gè)概念念和入侵侵檢測(cè)中中異常檢檢測(cè)的概概念非常常相似。。返回本章章首頁(yè)3．?dāng)?shù)據(jù)挖掘掘方法Columbia大學(xué)的WenkeLee在其博士士論文中中，提出出了將數(shù)數(shù)據(jù)挖掘掘（DataMining,DM））技術(shù)應(yīng)用用到入侵侵檢測(cè)中中，通過(guò)過(guò)對(duì)網(wǎng)絡(luò)絡(luò)數(shù)據(jù)和和主機(jī)系系統(tǒng)調(diào)用用數(shù)據(jù)的的分析挖挖掘，發(fā)發(fā)現(xiàn)誤用用檢測(cè)規(guī)規(guī)則或異異常檢測(cè)測(cè)模型。。具體的的工作包包括利用用數(shù)據(jù)挖挖掘中的的關(guān)聯(lián)算算法和序序列挖掘掘算法提提取用戶戶的行為為模式，，利用分分類算法法對(duì)用戶戶行為和和特權(quán)程程序的系系統(tǒng)調(diào)用用進(jìn)行分分類預(yù)測(cè)測(cè)。實(shí)驗(yàn)驗(yàn)結(jié)果表表明，這這種方法法在入侵侵檢測(cè)領(lǐng)領(lǐng)域有很很好的應(yīng)應(yīng)用前景景。返回本章章首頁(yè)4．基因算法法基因算法法是進(jìn)化化算法（（evolutionaryalgorithms）的一種，，引入了了達(dá)爾文文在進(jìn)化化論中提提出的自自然選擇擇的概念念（優(yōu)勝勝劣汰、、適者生生存）對(duì)對(duì)系統(tǒng)進(jìn)進(jìn)行優(yōu)化化。該算算法對(duì)于于處理多多維系統(tǒng)統(tǒng)的優(yōu)化化是非常常有效的的。在基基因算法法的研究究人員看看來(lái)，入入侵檢測(cè)測(cè)的過(guò)程程可以抽抽象為：：為審計(jì)計(jì)事件記記錄定義義一種向向量表示示形式，，這種向向量或者者對(duì)應(yīng)于于攻擊行行為，或或者代表表正常行行為。返回本章章首頁(yè)5．基于代理理的檢測(cè)測(cè)近年來(lái)，，一種基基于Agent的檢測(cè)技技術(shù)（Agent-BasedDetection））逐漸引起起研究者者的重視視。所謂謂Agent，實(shí)際上可可以看作作是在執(zhí)執(zhí)行某項(xiàng)項(xiàng)特定監(jiān)監(jiān)視任務(wù)務(wù)的軟件件實(shí)體。?；贏gent的入侵檢檢測(cè)系統(tǒng)統(tǒng)的靈活活性保證證它可以以為保障障系統(tǒng)的的安全提提供混合合式的架架構(gòu)，綜綜合運(yùn)用用誤用檢檢測(cè)和異異常檢測(cè)測(cè)，從而而彌補(bǔ)兩兩者各自自的缺陷陷。返回本章章首頁(yè)5.3分布式入入侵檢測(cè)測(cè)分布式入入侵檢測(cè)測(cè)（DistributedIntrusionDetection）是目前入入侵檢測(cè)測(cè)乃至整整個(gè)網(wǎng)絡(luò)絡(luò)安全領(lǐng)領(lǐng)域的熱熱點(diǎn)之一一。到目目前為止止，還沒(méi)沒(méi)有嚴(yán)格格意義上上的分布布式入侵侵檢測(cè)的的商業(yè)化化產(chǎn)品，，但研究究人員已已經(jīng)提出出并完成成了多個(gè)個(gè)原型系系統(tǒng)。通通常采用用的方法法中，一一種是對(duì)對(duì)現(xiàn)有的的IDS進(jìn)行規(guī)模模上的擴(kuò)擴(kuò)展，另另一種則則通過(guò)IDS之間的信信息共享享來(lái)實(shí)現(xiàn)現(xiàn)。具體體的處理理方法上上也分為為兩種：：分布式式信息收收集、集集中式處處理；分分布式信信息收集集、分布布式處理理。返回本章章首頁(yè)5.3.1分布式入入侵檢測(cè)測(cè)的優(yōu)勢(shì)勢(shì)分布式入入侵檢測(cè)測(cè)由于采采用了非非集中的的系統(tǒng)結(jié)結(jié)構(gòu)和處處理方式式，相對(duì)對(duì)于傳統(tǒng)統(tǒng)的單機(jī)機(jī)IDS具有一些些明顯的的優(yōu)勢(shì)：：（1）檢檢測(cè)大范范圍的攻攻擊行為為（2）提提高檢測(cè)測(cè)的準(zhǔn)確確度（3）提提高檢測(cè)測(cè)效率（4）協(xié)協(xié)調(diào)響應(yīng)應(yīng)措施返回本章章首頁(yè)5.3.2分布式入入侵檢測(cè)測(cè)的技術(shù)術(shù)難點(diǎn)與傳統(tǒng)的的單機(jī)IDS相比較，，分布式式入侵檢檢測(cè)系統(tǒng)統(tǒng)具有明明顯的優(yōu)優(yōu)勢(shì)。然然而，在在實(shí)現(xiàn)分分布檢測(cè)測(cè)組件的的信息共共享和協(xié)協(xié)作上，，卻存在在著一些些技術(shù)難難點(diǎn)。StanfordResearchInstitute（SRI）在對(duì)EMERALD系統(tǒng)的研研究中，，列舉了了分布式式入侵檢檢測(cè)必須須關(guān)注的的關(guān)鍵問(wèn)問(wèn)題：事事件產(chǎn)生生及存儲(chǔ)儲(chǔ)、狀態(tài)態(tài)空間管管理及規(guī)規(guī)則復(fù)雜雜度、知知識(shí)庫(kù)管管理、推推理技術(shù)術(shù)。返回本章章首頁(yè)5.3.3分布式入入侵檢測(cè)測(cè)現(xiàn)狀盡管分布布式入侵侵檢測(cè)存存在技術(shù)術(shù)和其它它層面的的難點(diǎn)，，但由于于其相對(duì)對(duì)于傳統(tǒng)統(tǒng)的單機(jī)機(jī)IDS所具有的的優(yōu)勢(shì)，，目前已已經(jīng)成為為這一領(lǐng)領(lǐng)域的研研究熱點(diǎn)點(diǎn)。1．Snortnet它通過(guò)對(duì)對(duì)傳統(tǒng)的的單機(jī)IDS進(jìn)行規(guī)模模上的擴(kuò)擴(kuò)展，使使系統(tǒng)具具備分布布式檢測(cè)測(cè)的能力力，是基基于模式式匹配的的分布式式入侵檢檢測(cè)系統(tǒng)統(tǒng)的一個(gè)個(gè)具體實(shí)實(shí)現(xiàn)。主主要包括括三個(gè)組組件：網(wǎng)網(wǎng)絡(luò)感應(yīng)應(yīng)器、代理守護(hù)護(hù)程序和和監(jiān)視控控制臺(tái)。返回本章章首頁(yè)2．Agent-Based基于Agent的IDS由于其良良好的靈靈活性和和擴(kuò)展性性，是分分布式入入侵檢測(cè)測(cè)的一個(gè)個(gè)重要研研究方向向。國(guó)外外一些研研究機(jī)構(gòu)構(gòu)在這方方面已經(jīng)經(jīng)做了大大量工作作，其中中Purdue大學(xué)的入入侵檢測(cè)測(cè)自治代代理（AAFID）和SRI的EMERALD最具代表表性。AAFID的體系結(jié)結(jié)構(gòu)如圖圖5-10所示示，其特特點(diǎn)是形形成了一一個(gè)基于于代理的的分層順順序控制制和報(bào)告告結(jié)構(gòu)。。返回本章章首頁(yè)返回本章章首頁(yè)3．DIDSDIDS（DistributedIntrusionDetectionSystem）是由UCDavis的SecurityLab完成的，，它集成成了兩種種已有的的入侵檢檢測(cè)系統(tǒng)統(tǒng)，Haystack和NSM。。前者由TracorAppliedSciencesandHaystack實(shí)驗(yàn)室針針對(duì)多用用戶主機(jī)機(jī)的檢測(cè)測(cè)任務(wù)而而開發(fā)，，數(shù)據(jù)源源來(lái)自主主機(jī)的系系統(tǒng)日志志。NSM則是由UCDavis開發(fā)的網(wǎng)網(wǎng)絡(luò)安全全監(jiān)視器器，通過(guò)過(guò)對(duì)數(shù)據(jù)據(jù)包、連連接記錄錄、應(yīng)用用層會(huì)話話的分析析，結(jié)合合入侵特特征庫(kù)和和正常的的網(wǎng)絡(luò)流流或會(huì)話話記錄的的模式庫(kù)庫(kù)，判斷斷當(dāng)前的的網(wǎng)絡(luò)行行為是否否包含入入侵或異異常。返回本章章首頁(yè)4．GrIDSGrIDS（Graph-basedIntrusionDetectionSystem）同樣由UCDavis提出并實(shí)實(shí)現(xiàn)，該該系統(tǒng)實(shí)實(shí)現(xiàn)了一一種在大大規(guī)模網(wǎng)網(wǎng)絡(luò)中使使用圖形形化表示示的方法法來(lái)描述述網(wǎng)絡(luò)行行為的途途徑，其其設(shè)計(jì)目目標(biāo)主要要針對(duì)大大范圍的的網(wǎng)絡(luò)攻攻擊，例例如掃描描、協(xié)同同攻擊、、網(wǎng)絡(luò)蠕蠕蟲等。。GrIDS的缺陷在在于只是是給出了了網(wǎng)絡(luò)連連接的圖圖形化表表示，具具體的入入侵判斷斷仍然需需要人工工完成，，而且系系統(tǒng)的有有效性和和效率都都有待驗(yàn)驗(yàn)證和提提高。返回本章章首頁(yè)5．IntrusionStrategyBoeing公司的Ming-YuhHuang從另一個(gè)個(gè)角度對(duì)對(duì)入侵檢檢測(cè)系統(tǒng)統(tǒng)進(jìn)行了了研究，，針對(duì)分分布式入入侵檢測(cè)測(cè)所存在在的問(wèn)題題，他認(rèn)認(rèn)為可以以從入侵侵者的目目的（IntrusionIntention），或者是入入侵策略略（IntrusionStrategy）入手，幫幫助我們們確定如如何在不不同的IDS組件之間間進(jìn)行協(xié)協(xié)作檢測(cè)測(cè)。對(duì)入入侵策略略的分析析可以幫幫助我們們調(diào)整審審計(jì)策略略和參數(shù)數(shù)，構(gòu)成成自適應(yīng)應(yīng)的審計(jì)計(jì)檢測(cè)系系統(tǒng)。返回本章章首頁(yè)6．?dāng)?shù)據(jù)融融合（DataFusion）TimmBass提出將數(shù)數(shù)據(jù)融合合（DataFusion）的概念應(yīng)應(yīng)用到入入侵檢測(cè)測(cè)中，從從而將分分布式入入侵檢測(cè)測(cè)任務(wù)理理解為在在層次化化模型下下對(duì)多個(gè)個(gè)感應(yīng)器器的數(shù)據(jù)據(jù)綜合問(wèn)問(wèn)題。在在這個(gè)層層次化模模型中，，入侵檢檢測(cè)的數(shù)數(shù)據(jù)源經(jīng)經(jīng)歷了從從數(shù)據(jù)（（Data）到信息（（Information）再到知識(shí)識(shí)（Knowledge）三個(gè)邏輯抽象象層次。返回本章首頁(yè)頁(yè)7．基于抽象（（Abstraction-based）的方法GMU的PengNing在其博士論文文中提出了一一種基于抽象象（Abstraction-based）的分布式入侵侵檢測(cè)系統(tǒng)，，基本思想是是設(shè)立中間層層（systemview），提供與具體系系統(tǒng)無(wú)關(guān)的抽抽象信息，用用于分布式檢檢測(cè)系統(tǒng)中的的信息共享，，抽象信息的的內(nèi)容包括事事件信息（event）以及系統(tǒng)實(shí)體體間的斷言（（dynamicpredicate）。中間層用于表表示IDS間的的共共享享信信息息時(shí)時(shí)使使用用的的對(duì)對(duì)應(yīng)應(yīng)關(guān)關(guān)系系為為：：IDS檢測(cè)測(cè)到到的的攻攻擊擊或或者者IDS無(wú)法法處處理理的的事事件件信信息息作作為為event，IDS或受受IDS監(jiān)控控的的系系統(tǒng)統(tǒng)的的狀狀態(tài)態(tài)則則作作為為dynamicpredicates。返回回本本章章首首頁(yè)頁(yè)5.4入侵侵檢檢測(cè)測(cè)系系統(tǒng)統(tǒng)的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)從20世紀(jì)紀(jì)90年代代到到現(xiàn)現(xiàn)在在，，入入侵侵檢檢測(cè)測(cè)系系統(tǒng)統(tǒng)的的研研發(fā)發(fā)呈呈現(xiàn)現(xiàn)出出百百家家爭(zhēng)爭(zhēng)鳴鳴的的繁繁榮榮局局面面，，并并在在智智能能化化和和分分布布式式兩兩個(gè)個(gè)方方向向取取得得了了長(zhǎng)長(zhǎng)足足的的進(jìn)進(jìn)展展。。為為了了提提高高IDS產(chǎn)品品、、組組件件及及與與其其他他安安全全產(chǎn)產(chǎn)品品之之間間的的互互操操作作性性，，DARPA和IETF的入入侵侵檢檢測(cè)測(cè)工工作作組組（（IDWG）發(fā)起起制制訂訂了了一一系系列列建建議議草草案案，，從從體體系系結(jié)結(jié)構(gòu)構(gòu)、、API、通信信機(jī)機(jī)制制、、語(yǔ)語(yǔ)言言格格式式等等方方面面來(lái)來(lái)規(guī)規(guī)范范IDS的標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。返回回本本章章首首頁(yè)頁(yè)5.4.1IETF/IDWGIDWG定義義了了用用于于入入侵侵檢檢測(cè)測(cè)與與響響應(yīng)應(yīng)（（IDR）系統(tǒng)統(tǒng)之之間間或或與與需需要要交交互互的的管管理理系系統(tǒng)統(tǒng)之之間間的的信信息息共共享享所所需需要要的的數(shù)數(shù)據(jù)據(jù)格格式式和和交交換換規(guī)規(guī)程程。。IDWG提出出了了三三項(xiàng)項(xiàng)建建議議草草案案：：入入侵侵檢檢測(cè)測(cè)消消息息交交換換格格式式（（IDMEF）、、入侵侵檢檢測(cè)測(cè)交交換換協(xié)協(xié)議議（（IDXP）以及及隧隧道道輪輪廓廓（（TunnelProfile）。。返回回本本章章首首頁(yè)頁(yè)5.4.2CIDFCIDF的工工作作集集中中體體現(xiàn)現(xiàn)在在四四個(gè)個(gè)方方面面：：IDS的體體系系結(jié)結(jié)構(gòu)構(gòu)、、通通信信機(jī)機(jī)制制、、描描述述語(yǔ)語(yǔ)言言和和應(yīng)應(yīng)用用編編程程接接口口API。。CIDF在IDES和NIDES的基基礎(chǔ)礎(chǔ)上上提提出出了了一一個(gè)個(gè)通通用用模模型型，，將將入入侵侵檢檢測(cè)測(cè)系系統(tǒng)統(tǒng)分分為為四四個(gè)個(gè)基基本本組組件件：：事事件件產(chǎn)產(chǎn)生生器器、、事事件件分分析析器器、、響響應(yīng)應(yīng)單單元元和和事事件件數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)。。其其結(jié)結(jié)構(gòu)構(gòu)如如圖圖5-15所所示示。。返回回本本章章首首頁(yè)頁(yè)返回回本本章章首首頁(yè)頁(yè)5.5入侵侵檢檢測(cè)測(cè)系系統(tǒng)統(tǒng)示示例例為了了直直觀觀地地理理解解入入侵侵檢檢測(cè)測(cè)的的使使用用、、配配置置等等情情況況，，這這里里我我們們以以Snort為例例，，對(duì)對(duì)構(gòu)構(gòu)建建以以Snort為基基礎(chǔ)礎(chǔ)的的入入侵侵檢檢測(cè)測(cè)系系統(tǒng)統(tǒng)做做概概要要介介紹紹。。Snort是一一個(gè)個(gè)開開放放源源代代碼碼的的免免費(fèi)費(fèi)軟軟件件，，它它基基于于libpcap的數(shù)數(shù)據(jù)據(jù)包包嗅嗅探探器器，，并并可可以以作作為為一一個(gè)個(gè)輕輕量量級(jí)級(jí)的的網(wǎng)網(wǎng)絡(luò)絡(luò)入入侵侵檢檢測(cè)測(cè)系系統(tǒng)統(tǒng)（（NIDS）。。通過(guò)過(guò)在在中中小小型型網(wǎng)網(wǎng)絡(luò)絡(luò)上上部部署署Snort系統(tǒng)統(tǒng)，，可可以以在在分分析析捕捕獲獲的的數(shù)數(shù)據(jù)據(jù)包包基基礎(chǔ)礎(chǔ)上上，，進(jìn)進(jìn)行行入入侵侵行行為為特特征征匹匹配配工工作作，，或或從從網(wǎng)網(wǎng)絡(luò)絡(luò)活活動(dòng)動(dòng)的的角角度度檢檢測(cè)測(cè)異異常常行行為為，，并并完完成成入入侵侵的的預(yù)預(yù)警警或或記記錄錄。。返回回本本章章首首頁(yè)頁(yè)5.5.1Snort的體體系系結(jié)結(jié)構(gòu)構(gòu)Snort在結(jié)結(jié)構(gòu)構(gòu)上上可可分分為為數(shù)數(shù)據(jù)據(jù)包包捕捕獲獲和和解解碼碼子子系系統(tǒng)統(tǒng)、、檢檢測(cè)測(cè)引引擎擎，，以以及及日日志志及及報(bào)報(bào)警警子子系系統(tǒng)統(tǒng)三三個(gè)個(gè)部部分分。。1．．?dāng)?shù)數(shù)據(jù)據(jù)包包捕捕獲獲和和解解碼碼子子系系統(tǒng)統(tǒng)該子子系系統(tǒng)統(tǒng)的的功功能能是是捕捕獲獲共共享享網(wǎng)網(wǎng)絡(luò)絡(luò)的的傳傳輸輸數(shù)數(shù)據(jù)據(jù)，，并并按按照照TCP/IP協(xié)議議的的不不同同層層次次將將數(shù)數(shù)據(jù)據(jù)包包解解析。。2．．檢檢測(cè)測(cè)引引擎擎檢測(cè)測(cè)引引擎擎是是NIDS實(shí)現(xiàn)的核心，，準(zhǔn)確性和快快速性是衡量量其性能的重重要指標(biāo)。返回本章首頁(yè)頁(yè)為了能夠快速速準(zhǔn)確地進(jìn)行行檢測(cè)和處理理，Snort在檢測(cè)規(guī)則方方面做了較為為成熟的設(shè)計(jì)計(jì)。Snort將所有已知的的攻擊方法以以規(guī)則的形式式存放在規(guī)則則庫(kù)中，每一一條規(guī)則由規(guī)規(guī)則頭和規(guī)則則選項(xiàng)兩部分分組成。規(guī)則則頭對(duì)應(yīng)于規(guī)規(guī)則樹結(jié)點(diǎn)RTN（RuleTreeNode），包含動(dòng)作、協(xié)協(xié)議、源（目目的）地址和和端口以及數(shù)數(shù)據(jù)流向，這這是所有規(guī)則則共有的部分分。規(guī)則選項(xiàng)項(xiàng)對(duì)應(yīng)于規(guī)則則選項(xiàng)結(jié)點(diǎn)OTN（OptionalTreeNode），包含報(bào)警信息息（msg）、匹配內(nèi)容（content）等選項(xiàng)，這些些內(nèi)容需要根根據(jù)具體規(guī)則則的性質(zhì)確定定。返回本章首頁(yè)頁(yè)檢測(cè)規(guī)則除了了包括上述的的關(guān)于“要檢測(cè)什么”，還應(yīng)該定義義“檢測(cè)到了該做做什么”。Snort定義了三種處處理方式：alert（發(fā)送報(bào)警信息息）、log（記錄該數(shù)據(jù)包包）和pass（忽略該數(shù)據(jù)包包），并定義義為規(guī)則的第第一個(gè)匹配關(guān)關(guān)鍵字。這樣設(shè)計(jì)的目目的是為了在在程序中可以以組織整個(gè)規(guī)規(guī)則庫(kù)，即將將所有的規(guī)則則按照處理方方式組織成三三個(gè)鏈表，以以用于更快速速準(zhǔn)確地進(jìn)行行匹配。如圖5-17所示。返回本章首頁(yè)頁(yè)返回本章首頁(yè)頁(yè)當(dāng)Snort捕獲一個(gè)數(shù)據(jù)據(jù)包時(shí)，首先先分析該數(shù)據(jù)據(jù)包使用哪個(gè)個(gè)IP協(xié)議以決定將將與某個(gè)規(guī)則則樹進(jìn)行匹配配。然后與RTN結(jié)點(diǎn)依次進(jìn)行行匹配，當(dāng)與與一個(gè)頭結(jié)點(diǎn)點(diǎn)相匹配時(shí)，，向下與OTN結(jié)點(diǎn)進(jìn)行匹配配。每個(gè)OTN結(jié)點(diǎn)包含一條條規(guī)則所對(duì)應(yīng)應(yīng)的全部選項(xiàng)項(xiàng)，同時(shí)包含含一組函數(shù)指指針，用來(lái)實(shí)實(shí)現(xiàn)對(duì)這些選選項(xiàng)的匹配操操作。當(dāng)數(shù)據(jù)據(jù)包與某個(gè)OTN結(jié)點(diǎn)相匹配時(shí)時(shí)，即判斷此此數(shù)據(jù)包為攻攻擊數(shù)據(jù)包。。具體流程見圖圖5-18所所示。返回本章首頁(yè)頁(yè)返回本章首頁(yè)頁(yè)3．日志及報(bào)警子子系統(tǒng)一個(gè)好的NIDS，更應(yīng)該提供友友好的輸出界界面或發(fā)聲報(bào)報(bào)警等。Snort是一個(gè)輕量級(jí)級(jí)的NIDS，它的另外一個(gè)個(gè)重要功能就就是數(shù)據(jù)包記記錄器，它主主要采取用TCPDUMP的格式記錄信信息、向syslog發(fā)送報(bào)警信息息和以明文形形式記錄報(bào)警警信息三種方方式。值得提出的是是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流流量非常大時(shí)時(shí)，可以將數(shù)數(shù)據(jù)包信息壓壓縮從而實(shí)現(xiàn)現(xiàn)快速報(bào)警。。返回本章首頁(yè)頁(yè)5.5.2安裝使用Snort以snort1.8.6為例，可執(zhí)行行下列命令安安裝：若從的/dl/signatures/下載最新的規(guī)規(guī)則庫(kù)，則右右側(cè)命令可將將規(guī)則庫(kù)安裝裝到適當(dāng)位置置：返回本章首頁(yè)頁(yè)5.5.3Snort與TCPDump的比較從表面上看，，Snort與TCPDump是非常相似的的，Snort與它的最大共共同之處在于于都是基于libpcap庫(kù)，且都支持持BPF過(guò)濾機(jī)制，但但Snort的目的不僅僅僅在于記錄網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包，，而是從安全全的角度出發(fā)發(fā)來(lái)解析分析析它。TCPDump通過(guò)分析第二二層或第三層層的報(bào)文進(jìn)行行網(wǎng)絡(luò)故障診診斷，而Snort則針對(duì)應(yīng)用層層的數(shù)據(jù)進(jìn)行行分析從而實(shí)實(shí)現(xiàn)檢測(cè)入侵侵行為。此外，由于TCPDump旨在快速完整整地記錄流量量，所以它制制定了特殊的的輸出格式、、速度快，但但不易閱讀。。而Snort提供了更為友友好的輸出格格式，有利于于系統(tǒng)管理員員直接分析。。返回本章首頁(yè)頁(yè)5.5.4部署IDS面臨的問(wèn)題由于系統(tǒng)本身身存在的若干干問(wèn)題，使得得實(shí)際部署IDS存在著一些不不可避免的困困難，這就需需要我們?cè)趯?shí)實(shí)際工作中權(quán)權(quán)衡利弊，揚(yáng)揚(yáng)長(zhǎng)避短。（1）突破檢檢測(cè)速度瓶頸頸制約，適應(yīng)應(yīng)網(wǎng)絡(luò)通信需需求。（2）降低漏漏報(bào)和誤報(bào)，，提高其安全全性和準(zhǔn)確度度。（3）提高系系統(tǒng)互動(dòng)性能能，增強(qiáng)全系系統(tǒng)的安全性性能。返回本章首頁(yè)頁(yè)5.6本章章小結(jié)入侵檢測(cè)（IntrusionDetection）是保障網(wǎng)絡(luò)系系統(tǒng)安全的關(guān)關(guān)鍵部件，它它通過(guò)監(jiān)視受受保護(hù)系統(tǒng)的的狀態(tài)和活動(dòng)動(dòng)，采用誤用用檢測(cè)（MisuseDetection）或異常檢測(cè)（（AnomalyDetection）的方式，發(fā)現(xiàn)現(xiàn)非授權(quán)的或或惡意的系統(tǒng)統(tǒng)及網(wǎng)絡(luò)行為為，為防范入入侵行為提供供有效的手段段。入侵檢測(cè)按照照不同的標(biāo)準(zhǔn)準(zhǔn)有多種分類類方法。分布布式入侵檢測(cè)測(cè)（DistributedIntrusionDetection）對(duì)信息的處理理方法分為兩兩種，即分布布式信息收集集、集中式處處理和分布式式信息收集、、分布式處理理。返回本章首頁(yè)頁(yè)為了提高IDS產(chǎn)品、組件及及與其他安全全產(chǎn)品之間的的互操作性，，DARPA和IETF的入侵檢測(cè)工工作組（IDWG）發(fā)起制訂了一一系列建議草草案，從體系系結(jié)構(gòu)、API、通信機(jī)制、語(yǔ)語(yǔ)言格式等方方面來(lái)規(guī)范IDS的標(biāo)準(zhǔn)，但草草案或建議目目前都處于逐逐步完善之中中，尚無(wú)被廣廣泛接受的國(guó)國(guó)際標(biāo)準(zhǔn)。在安全實(shí)踐中中，部署入侵侵檢測(cè)是一項(xiàng)項(xiàng)繁瑣的工作作，需要從三三個(gè)方面對(duì)入入侵檢測(cè)進(jìn)行行改進(jìn)，即突突破檢測(cè)速度度瓶頸制約，，適應(yīng)網(wǎng)絡(luò)通通信需求；降降低漏報(bào)和誤誤報(bào)，提高其其安全性和準(zhǔn)準(zhǔn)確度；提高高系統(tǒng)互動(dòng)性性能，增強(qiáng)全全系統(tǒng)的安全全性能。返回本章首頁(yè)頁(yè)本章到此結(jié)束束，謝謝！9、靜夜夜四無(wú)無(wú)鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Wednesday,December28,202210、雨中黃葉葉樹，燈下下白頭人。。。21:53:3621:53:3621:5312/28/20229:53:36PM11、以我獨(dú)沈久久，愧君相見見頻。。12月-2221:53:3621:53Dec-2228-Dec-2212、故人人江海海別，，幾度度隔山山川。。。21:53:3621:53:3621:53Wednesday,December28,202213、乍見翻翻疑夢(mèng)，，相悲各各問(wèn)年。。。12月-2212月-2221:53:3621:53:36December28,202214、他鄉(xiāng)生白發(fā)發(fā)，舊國(guó)見青青山。。28十二月月20229:53:36下午21:53:3612月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。