第7章網(wǎng)絡(luò)防御

第7章網(wǎng)絡(luò)防御網(wǎng)絡(luò)防御內(nèi)容防火墻入侵檢測系統(tǒng)VLANIPS和IMS云安全防火墻防火墻是位于兩個或多個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，是位于內(nèi)外網(wǎng)之間的安全衛(wèi)士防火墻主要目的是有效地控制內(nèi)、外網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)流，做到御敵于外防火墻的部署和實施須考慮如下兩個方面：流經(jīng)內(nèi)網(wǎng)、外網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻，即位于內(nèi)網(wǎng)、外網(wǎng)之間數(shù)據(jù)交換的必路徑上只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻的主要功能網(wǎng)絡(luò)數(shù)據(jù)流過濾依據(jù)安全規(guī)則對流經(jīng)防火墻的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行控制，只有符合安全規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)流才能通過防火墻網(wǎng)絡(luò)審計和監(jiān)控在對流經(jīng)防火墻的數(shù)據(jù)流進(jìn)行安全檢查的同時進(jìn)行日志記錄，包括數(shù)據(jù)傳輸操作(如源、目的地址)、數(shù)據(jù)流量，異常、可疑行為，用于網(wǎng)絡(luò)管理、異常和可疑行為分析、異常和可疑行事件報告防火墻的主要功能內(nèi)外地址變換(NAT)NAT,NetworkAddressTranslation,當(dāng)一個IP數(shù)據(jù)包經(jīng)防火墻進(jìn)出內(nèi)網(wǎng)時，將一個IP數(shù)據(jù)包的內(nèi)網(wǎng)IP地址轉(zhuǎn)化為外網(wǎng)IP地址，或者反過來支持DMZDMZ,DemilitarizedZone,企業(yè)網(wǎng)絡(luò)中的一個可供公眾訪問的公共區(qū)域，是企業(yè)安全內(nèi)網(wǎng)與外網(wǎng)之間的一個緩沖區(qū)通常部署有企業(yè)Web站點、電子郵箱系統(tǒng)、電子商務(wù)系統(tǒng)防火墻的主要功能支持VPNVPN(VirtualPrivateNetwork)，在不安全的公共網(wǎng)絡(luò)中構(gòu)建一個面向企業(yè)的安全網(wǎng)絡(luò)，用于將企業(yè)分布在各地的局域網(wǎng)連成一體WebFtp電子商務(wù)DMZ內(nèi)部網(wǎng)絡(luò)通過NAT訪問InternetInternet流量過濾網(wǎng)絡(luò)審計NATVPNDMZVPNVPN防火墻防火墻的局限性無法檢測、控制不經(jīng)過防火墻的數(shù)據(jù)流不能防止來自內(nèi)部人員的惡意攻擊不能阻止被病毒感染的有害程序或文件的傳遞，如木馬不能防止通過數(shù)據(jù)進(jìn)行的攻擊，如緩存器溢出攻擊防火墻分類防火墻從保護(hù)對象和范圍劃分，分為企業(yè)防火墻和個人防火墻企業(yè)防火墻用于保護(hù)機(jī)構(gòu)的內(nèi)網(wǎng)安全個人防火墻用于保護(hù)個人主機(jī)的安全之前所說的防火墻的定義、目的和作用主要指企業(yè)防火墻，但個人防火墻也有類似的作用防火墻從網(wǎng)絡(luò)作用層次劃分，分為包過濾防火墻和代理防火墻包過濾防火墻包括過濾防火墻是對IP數(shù)據(jù)包進(jìn)行檢查和控制的防火墻，安全策略主要針對IP數(shù)據(jù)包頭的源地址、目的地址、端口號和協(xié)議，主要在工作網(wǎng)絡(luò)層包過濾防火墻示意圖應(yīng)用層傳輸層網(wǎng)絡(luò)層接口層網(wǎng)絡(luò)適配器網(wǎng)絡(luò)適配器網(wǎng)絡(luò)數(shù)據(jù)流外網(wǎng)內(nèi)網(wǎng)(應(yīng)用)代理防火墻代理防火墻通過對應(yīng)用層數(shù)據(jù)的檢查，控制應(yīng)用層數(shù)據(jù)的傳輸代理防火墻理解應(yīng)用層協(xié)議，接收到數(shù)據(jù)后，先將數(shù)據(jù)在應(yīng)用層進(jìn)行還原，然后對應(yīng)用層數(shù)據(jù)的內(nèi)容和格式進(jìn)行檢查，通過后在應(yīng)用層進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)對內(nèi)部節(jié)點提交到外部服務(wù)器的應(yīng)用層請求數(shù)據(jù)進(jìn)行還原，檢查通過后轉(zhuǎn)發(fā)到外部服務(wù)器，然后將外部服務(wù)器返回的應(yīng)用層數(shù)據(jù)還原，檢查通過后轉(zhuǎn)發(fā)到內(nèi)部節(jié)點或者，反之代理防火墻隔斷了內(nèi)外網(wǎng)之間的直接連接內(nèi)網(wǎng)與外網(wǎng)間的傳輸連接(如TCP)建立過程是：內(nèi)網(wǎng)系統(tǒng)與代理防火墻之間建立傳輸連接，代理防火墻同外網(wǎng)建立傳輸連接或者，反之代理防火墻示意圖Web服務(wù)器WebFTPE-mail…WebFTPE-mail…Ftp服務(wù)器郵件服務(wù)器安全審查外網(wǎng)內(nèi)網(wǎng)代理防火墻傳輸層代理防火墻的優(yōu)點和缺點優(yōu)點能對應(yīng)用層數(shù)據(jù)進(jìn)行檢查，并根據(jù)應(yīng)用層數(shù)據(jù)進(jìn)行控制，如內(nèi)容審計缺點需要理解應(yīng)用層協(xié)議，隨著應(yīng)用增多，這很困難，因此，只適合于一些標(biāo)準(zhǔn)應(yīng)用協(xié)議需要進(jìn)行應(yīng)用層數(shù)據(jù)的還原處理，工作量大，成為瓶頸，影響系統(tǒng)性能防火墻常用的技術(shù)訪問控制列表(ACL)靜態(tài)包過濾動態(tài)包過濾NATVPN訪問控制列表(ACL)一系列允許和拒絕規(guī)則的集合允許規(guī)則，滿足匹配條件則允許通過拒絕規(guī)則，滿足匹配條件則不允許通過如果同時滿足允許規(guī)則和拒絕規(guī)則怎辦？取決于規(guī)則實施策略順序優(yōu)先，應(yīng)用先匹配成功的規(guī)則，規(guī)則順序很重要拒絕優(yōu)先，允許規(guī)則匹配成功后，看是否還有拒絕規(guī)則相匹配，若是，則拒絕序號方向源地址目的地址協(xié)議源端口目的端口是否通過表7.1ACLRule1Rule2outout1*.*.*.**.*.*.*6訪問控制列表(ACL)源1訪問目6:80怎辦？TCPTCPanyany8080denyaccept靜態(tài)包過濾防火墻根據(jù)預(yù)先定義好的包過濾規(guī)則，檢查數(shù)據(jù)包ACL檢查IP包頭TCP包頭負(fù)載被檢查部分動態(tài)包過濾防火墻在預(yù)先定義好的包過濾規(guī)則的基礎(chǔ)上，能根據(jù)檢測狀態(tài)和安全要求動態(tài)設(shè)置或修改包過濾規(guī)則ACL檢查IP包頭TCP包頭負(fù)載被檢查部分監(jiān)測有關(guān)狀態(tài)依據(jù)具體需求創(chuàng)建或刪除規(guī)則NAT(網(wǎng)絡(luò)地址翻譯或轉(zhuǎn)換)NAT的目的隱藏內(nèi)網(wǎng)結(jié)構(gòu)外網(wǎng)IP地址復(fù)用NAT的工作方式靜態(tài)地址變換將外網(wǎng)IP地址與內(nèi)網(wǎng)IP地址一一對應(yīng)和變換主要用于隱藏內(nèi)網(wǎng)結(jié)構(gòu)同時適合內(nèi)網(wǎng)或外網(wǎng)主動發(fā)起的連接動態(tài)地址變換動態(tài)地將某個內(nèi)網(wǎng)IP地址對應(yīng)到某個外網(wǎng)IP地址并進(jìn)行轉(zhuǎn)換僅適合內(nèi)網(wǎng)主動發(fā)起的連接靜態(tài)NATInternet地址轉(zhuǎn)換表<--><--><-->外網(wǎng)IP地址靜態(tài)配置NAT表動態(tài)NATInternet地址轉(zhuǎn)換表:3001<-->:3001:3002<-->:2048:3003<-->:3210外網(wǎng)IP地址動態(tài)配置NAT表VPNVPN是通過公共網(wǎng)絡(luò)在不同局域網(wǎng)之間，或外網(wǎng)主機(jī)和局域網(wǎng)之間，建立一個安全的永久性或臨時性的安全數(shù)據(jù)傳輸通道，這個安全數(shù)據(jù)傳輸通道也稱為安全隧道(tunnel)VPN采用IPSec協(xié)議建議安全隧道VPN隧道示意圖被封裝報文隧道InternetVPN封裝VPN解封原始報文原始報文VPN應(yīng)用的類型AccessVPN外網(wǎng)個人用戶主機(jī)接入內(nèi)部網(wǎng)IntranetVPN用于企業(yè)分支機(jī)構(gòu)之間構(gòu)建安全網(wǎng)絡(luò)ExtranetVPN用于企業(yè)與其合作伙伴間建立安全網(wǎng)絡(luò)VPN示意圖VPN服務(wù)器VPN服務(wù)器VPN服務(wù)器VPN客戶端A公司外地業(yè)務(wù)員B公司(1)AccessVPN(2)IntranetVPN(3)ExtranetVPNA公司分支機(jī)構(gòu)A公司總部Internet防火墻舉例：Netfilter/IPtables2001年發(fā)布的Linux2.4的內(nèi)核中推出了一套Netfilter/IPtables包過濾機(jī)制Netfilter/Iptables既可以作為主機(jī)防火墻，也可作為網(wǎng)絡(luò)防火墻Netfilter/IPtables采用兩層結(jié)構(gòu)Netfilter位于內(nèi)核層，是LinuxIP協(xié)議棧中的通用架構(gòu)，負(fù)責(zé)實施包過濾及控制，IPtables位于用戶層用于包過濾規(guī)則的管理，包括插入、修改和刪除Netfilter/IPtablesTCP/UDPIP網(wǎng)絡(luò)接口網(wǎng)絡(luò)硬件應(yīng)用程序防火墻內(nèi)核模塊NetfilterIPtable用戶層內(nèi)核層硬件Netfilter包過濾表結(jié)構(gòu)示意圖NATMangleFilterInputForwardOutputPreroutingOutputPostroutingRulesRulesRulesRules表鏈(掛鉤點)規(guī)則Conntrack(Raw)OutputInputPreroutingPostroutingRulesRulesForwardOutputInputPreroutingPostroutingRulesRulesNetfilter的掛鉤接收的數(shù)據(jù)包發(fā)送的數(shù)據(jù)包生成的數(shù)據(jù)包Route(1)IP_PRE_ROUTING(2)IP_LOCAL_IN(3)IP_FORWARD(4)IP_POST_ROUTING(5)IP_LOCAL_OUT本地程序ConntrackMangleNATFilterMangleConntrackFilterMangleConntrackMangleNATConntrackMangleNATFilterNetfilter包過濾規(guī)則管理命令通過Iptable命令管理包過濾規(guī)則iptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]>iptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]><-t表名>-t后跟表名，filter,

NAT,mangle,conntrack，缺省是filteriptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]><操作鏈>-A：追加加一條規(guī)則，該規(guī)則將會增加到規(guī)則列表的最后一行-I：在指定規(guī)則編號處插入一條規(guī)則，原本該位置上的規(guī)則將會往后順序移動，如果沒有指定規(guī)則編號，則在第一條規(guī)則前插入iptables-IINPUT3--dport80-jACCEPT-D：從規(guī)則列表中刪除一條規(guī)則，可以輸入完整規(guī)則，或直接指定規(guī)則編號加以刪除iptables-DINPUT--dport80-jDROPiptables-DINPUT1iptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]>-R：替換某條規(guī)則，規(guī)則被替換并不會改變順序，必須要指定替換的規(guī)則編號iptables-RINPUT1-s-jDROP-L：查看指定表和鏈的規(guī)則列表iptables-LINPUT-F：清空所選的鏈。如果沒有指定鏈，則清空指定表中的所有鏈。如果什么都沒有指定，就清空默認(rèn)表所有的鏈。iptables-FINPUT-Z：將指定鏈中的數(shù)據(jù)包計數(shù)器和流量計數(shù)器歸零iptables-ZINPUT-P：設(shè)置默認(rèn)策略iptables-PINPUTDROP<一級參數(shù)[二級參數(shù)]>-i:后接網(wǎng)卡名，指定數(shù)據(jù)包從哪塊網(wǎng)卡輸入，要和INPUT鏈配合，如ppp0、eth0,查詢網(wǎng)卡名：ifconfig-o:后接網(wǎng)卡名，指定數(shù)據(jù)包從哪塊網(wǎng)卡輸出，要和OUTPUT鏈配合同上-s:后接源IP或子網(wǎng)，表示數(shù)據(jù)包的源IP是否相同或在此網(wǎng)段，可加！，表示指定之外的網(wǎng)段-d:后接目的IP或子網(wǎng)，表示數(shù)據(jù)包的目的IP是否相同或者在此網(wǎng)段iptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]>一級參數(shù)[二級參數(shù)]-p:后接協(xié)議名，該協(xié)議是封裝在IP中的，常見有TCP、UDP、ICMP，all代表全部協(xié)議如果接的是tcp、udp、icmp，他們還有二級參數(shù)--sport:后接源端口號或服務(wù)名,具體查看/etc/services,可以接多端口，如1024:65535--dport:后接目的端口號或服務(wù)名,同上iptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]><-j行為[參數(shù)]>ACCEPT:接受數(shù)據(jù)包DROP:拒絕數(shù)據(jù)包REJECT:作用同DROP，并將錯誤信息返回給信息發(fā)送方，只能用在INPUT、FORWARD、OUTPUT和它們的子鏈里TOS:改變IP頭部中的TOS字段，只能在mangle表內(nèi)使用,它后面要接參數(shù),后接數(shù)值0x00-0xFFTTL:改變IP頭部中的TTL字段,只能在mangle表內(nèi)使用,他后面要接參數(shù)LOG：記錄行為，它后面可接參數(shù)iptables<-t表名><操作鏈><一級參數(shù)[二級參數(shù)]><-j行為[參數(shù)]>Netfilter/IPtables的應(yīng)用舉例Internet路由器eth1eth0LinuxOS內(nèi)部局域網(wǎng)/24/24普通用戶受保護(hù)用戶Iptables–PFORWARDDROPIptables–AFORWARD–ptcp–s/24–jACCEPTIptables–AFORWARD–ptcp–d/24–jACCEPT入侵檢測系統(tǒng)入侵檢測系統(tǒng)，IntrusionDetectionSystem（IDS）,是一種對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)視，在發(fā)現(xiàn)可疑傳輸或行為時發(fā)出警報或采取主動反擊措施的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)入侵檢測概述1980年JamesP.Anderson在為美國空軍作的題為“ComputerSecurityThreatMonitoringandSurveillance”的報告中首次詳細(xì)闡述了入侵檢測的概念1984-1986年，喬治敦大學(xué)的DorothyDenning和SRI公司的PeterNeumann研究提出了一個實時入侵檢測系統(tǒng)模型，稱為入侵檢測專家系統(tǒng)，IntrusionDetectionExpertSystem，IDES專家系統(tǒng)，即將專家知識傳化成規(guī)則進(jìn)行判斷、推理的系統(tǒng)IDES模型的要素主體(Subject)：系統(tǒng)上活動的實體，如用戶對象(Object)：系統(tǒng)資源，如文件、設(shè)備審計記錄(Audit)：操作記錄，由主體、活動、對象、異常條件、資源使用情況、時間戳構(gòu)成的六元組活動(Action)是主體對客體的操作，如讀、寫、修改異常條件(ExceptionCond.)，系統(tǒng)報告的異?；顒淤Y源使用情況(Resource-Usage)是系統(tǒng)的資源消耗情況，如CPU、內(nèi)存使用率時間戳(TimeStamp)是活動發(fā)生時間IDES模型的要素活動輪廓(ActivityProfile)：主體正?；顒拥挠嘘P(guān)特征信息異常記錄(AnomalyRecord)：由事件(Event)、時間戳、輪廓組成，用于表示異常情況的發(fā)生活動規(guī)則：用于匹配或檢測審計記錄中是否存在異常行為的規(guī)則(專家規(guī)則)，活動規(guī)則構(gòu)成了策略規(guī)則集IDES模型審計數(shù)據(jù)源模式匹配輪廓特征引擎異常檢測器報警策略規(guī)則集活動規(guī)則IDES：IntrusionDetectionExpertSystemCIDF模型CIDF,CommonIntrusionDetectionFramework,美國國防部資助的一個開放機(jī)構(gòu)及其提出的一個模型事件產(chǎn)生器事件分析器DR啟動EA事件數(shù)據(jù)庫響應(yīng)單元適當(dāng)響應(yīng)CIDF模型CIDF：CommonIntrusionDetectionFramework入侵檢測系統(tǒng)基本知識入侵檢測常用概念事件：當(dāng)網(wǎng)絡(luò)或主機(jī)遭到入侵或出現(xiàn)較重大變化時稱為發(fā)生安全事件，簡稱事件報警：當(dāng)發(fā)生事件時，IDS通過某種方式及時通知安全管理人員的行動響應(yīng)：當(dāng)IDS報警后，網(wǎng)絡(luò)安全管理人員對事件作出的處理，或者IDS檢測到安全事件后(同其他安全設(shè)備一起)所采取的安全阻斷措施濫用(misuse)：指不正當(dāng)使用計算機(jī)或網(wǎng)絡(luò)，并構(gòu)成對計算機(jī)安全或網(wǎng)絡(luò)安全威脅的一類行為入侵檢測常用概念異常：對網(wǎng)絡(luò)或主機(jī)的正常行為進(jìn)行采集分析，描述出正常行為輪廓，建立行為模型，出現(xiàn)偏離正常行為模型的網(wǎng)絡(luò)或主機(jī)行為則為異常入侵特征：也稱為攻擊簽名(AttackSignature)或攻擊模式(AttackPattern)，指通過對網(wǎng)絡(luò)或主機(jī)入侵行為過程的提煉所反映的入侵行為的特征感應(yīng)器：部署在網(wǎng)絡(luò)或主機(jī)中用于收集網(wǎng)絡(luò)信息或用戶行為信息的軟、硬件入侵檢測的主要工作過程信息收集由放置在不同網(wǎng)段的感應(yīng)器收集網(wǎng)絡(luò)中的數(shù)據(jù)，由主機(jī)內(nèi)的感應(yīng)器收集主機(jī)內(nèi)的信息，收集的信息內(nèi)容包括網(wǎng)絡(luò)連接、數(shù)據(jù)，用戶活動、程序操作、系統(tǒng)日志信息分析將收集到信息和數(shù)據(jù)交檢測引擎進(jìn)行分析，發(fā)現(xiàn)入侵或異常行為，如通過模式匹配、統(tǒng)計分析、完整性分析結(jié)果處理當(dāng)確定出現(xiàn)入侵或異常行為即安全事件時，報警并采取相應(yīng)的響應(yīng)措施，阻斷入侵行為入侵檢測系統(tǒng)的主要功能監(jiān)測并分析用戶、系統(tǒng)和網(wǎng)絡(luò)的活動變化核查系統(tǒng)配置和漏洞評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識別已知的攻擊行為統(tǒng)計分析異常行為操作系統(tǒng)日志管理，識別違反安全策略的用戶活動入侵檢測系統(tǒng)分類以數(shù)據(jù)源（監(jiān)測對象）為分類標(biāo)準(zhǔn)基于主機(jī)的入侵檢測系統(tǒng)(Host-basedintrusiondetectionsystem,HIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-basedintrusiondetectionsystem,NIDS)以檢測技術(shù)為分類標(biāo)準(zhǔn)基于濫用(misuse)檢測的IDS基于異常(anomaly)檢測的IDS模式以數(shù)據(jù)源分類-HIDS模型主機(jī)系統(tǒng)檢測分析器應(yīng)急響應(yīng)攻擊模式庫管理配置報警措施審計數(shù)據(jù)HIDS：Host-basedIntrusionDetectionSystemHIDS的特點優(yōu)點性價比高，無需額外的硬件，主機(jī)數(shù)量少時性價比更突出準(zhǔn)確率高，檢測主機(jī)上的行為、操作，如對敏感文件、程序、端口的訪問，便于區(qū)分正常和非法行為對網(wǎng)絡(luò)流量不敏感，檢測主機(jī)，不受網(wǎng)絡(luò)流量影響缺點與操作系統(tǒng)相關(guān)，可移植性差需要在檢測主機(jī)上安裝檢測系統(tǒng)，增加主機(jī)負(fù)載、增加額外的維護(hù)工作不能檢測針對網(wǎng)絡(luò)的攻擊，如針對網(wǎng)絡(luò)的DOS攻擊以數(shù)據(jù)源分類-NIDS模型模式網(wǎng)絡(luò)接口層檢測分析器應(yīng)急響應(yīng)攻擊模式庫管理配置報警措施感應(yīng)器感應(yīng)器感應(yīng)器NIDS：Network-basedIntrusionDetectionSystemNIDS的特點優(yōu)點與被檢測的系統(tǒng)平臺無關(guān)對用戶透明、隱藏性好利用單獨系統(tǒng)完成檢測，不增加主機(jī)負(fù)載和維護(hù)工作缺點無法檢測來自網(wǎng)絡(luò)內(nèi)部的攻擊和內(nèi)部合法用戶的濫用行為無法分析加密的數(shù)據(jù)報文工作量大，受網(wǎng)絡(luò)流量影響大，易受DOS攻擊以檢測技術(shù)分類-濫用檢測模型入侵特征特征模式匹配濫用攻擊正常行為數(shù)據(jù)源匹配失敗匹配成功以檢測技術(shù)分類-異常檢測模型標(biāo)準(zhǔn)特征(活動輪廓)比較閾值異常行為正常行為數(shù)據(jù)源低于高于入侵檢測技術(shù)濫用檢測技術(shù)異常檢測技術(shù)入侵誘騙技術(shù)濫用檢測技術(shù)專家系統(tǒng)將網(wǎng)絡(luò)安全專家的知識以IF…THEN…規(guī)則的形式保存在專家數(shù)據(jù)庫中，用于判斷是否有入侵特征分析也稱模式匹配，是目前商業(yè)軟件常用的方法；根據(jù)網(wǎng)絡(luò)入侵的行為特征形式模式庫，將檢測的數(shù)據(jù)與模式庫中的入侵模式匹配，從而發(fā)現(xiàn)入侵優(yōu)點：成熟、準(zhǔn)確率高、效率高缺點：只能檢測已知的攻擊，需要不斷升級濫用檢測技術(shù)狀態(tài)轉(zhuǎn)移分析入侵通過一個行為序列將系統(tǒng)從初始狀態(tài)一步一步地轉(zhuǎn)入被入侵狀態(tài)確定每一種入侵的狀態(tài)轉(zhuǎn)移情況及狀態(tài)轉(zhuǎn)移條件(操作、特征事件)，形成狀態(tài)轉(zhuǎn)移圖檢測系統(tǒng)的狀態(tài)轉(zhuǎn)移及當(dāng)前條件是否符合某個入侵狀態(tài)轉(zhuǎn)移圖，從而確定是否有入侵缺點：針對已知入侵；狀態(tài)轉(zhuǎn)移的情況可能很復(fù)雜(比如主機(jī)的初始狀態(tài)可能多種多樣)濫用檢測技術(shù)模型推理可看作一種特別的特征分析或模式匹配收集入侵的樣本，將入侵的可能行為序列形成濫用劇本，保存在濫用劇本數(shù)據(jù)庫將實時檢測的網(wǎng)絡(luò)和主機(jī)行為數(shù)據(jù)與濫用劇本數(shù)據(jù)庫中的濫用劇本比對，確定是否有入侵根據(jù)確認(rèn)的入侵提高已有濫用劇本的概率，篩選、優(yōu)化濫用劇本根據(jù)確認(rèn)的入侵更新濫用劇本濫用檢測技術(shù)完整性分析通過檢查確定受保護(hù)的對象是否被非授權(quán)的更改而確定是否有濫用發(fā)生異常檢測技術(shù)通過檢測系統(tǒng)或行為主體是否出現(xiàn)與正常情況相異的情況從而確定是否有入侵發(fā)生的技術(shù)常用方法統(tǒng)計分析預(yù)測模型系統(tǒng)調(diào)用監(jiān)測基于人工智能的異常檢測技術(shù)統(tǒng)計分析入侵檢測系統(tǒng)通過對系統(tǒng)用戶和主體的行為歷史記錄進(jìn)行統(tǒng)計分析，建立行為模式，如敲擊鍵盤的平均時間、方差，系統(tǒng)主體訪問資源的頻率等；行為模式會定期更新入侵檢測系統(tǒng)維護(hù)一個由行為模式組成的規(guī)則知識庫，據(jù)此判斷是否有入侵發(fā)生優(yōu)點檢測盜用者和外部入侵者時效果非常好缺點未考慮事件的發(fā)生順序攻擊者意識到被監(jiān)控后利用統(tǒng)計模式的適應(yīng)性緩慢改變其行為，訓(xùn)練正常特征輪廓難于確定正常與非正常的閾值預(yù)測模型與系統(tǒng)調(diào)用預(yù)測模型克服統(tǒng)計分析的缺點，考慮入侵事件發(fā)生的時間順序系統(tǒng)調(diào)用檢測特權(quán)程序的系統(tǒng)調(diào)用了進(jìn)行異常檢測基于人工智能的異常檢測技術(shù)將人工智能用于異常檢測數(shù)據(jù)挖掘：從大量數(shù)據(jù)中確定具有代表性的特征，主要是確定異常行為模式神經(jīng)網(wǎng)絡(luò)：用代表正常用戶或系統(tǒng)行為的樣本訓(xùn)練神經(jīng)網(wǎng)絡(luò)，建立正常用戶或系統(tǒng)的行為模式模糊理論：針對入侵評判具有一定模糊性的特點功能更強(qiáng)大，適應(yīng)性更強(qiáng)入侵誘騙技術(shù)入侵誘騙是指用偽裝的主機(jī)或網(wǎng)絡(luò)吸引攻擊者，避免其他主機(jī)受攻擊，同時對攻擊者的各種攻擊行為進(jìn)行分析，進(jìn)而找到有效的應(yīng)對方法蜜罐技術(shù)蜜網(wǎng)技術(shù)蜜罐技術(shù)蜜罐：是一種安全資源，其價值在于被掃描、攻擊和攻陷蜜罐技術(shù)就是利用蜜罐引誘、捕獲、分析攻擊蜜罐的形式真實蜜罐：真實運行的、有漏洞的人系統(tǒng)偽裝蜜罐：通過仿真程序或其他方式偽裝帶有系統(tǒng)漏洞的系統(tǒng)，如偽裝的帶有漏洞的IIS系統(tǒng)蜜網(wǎng)技術(shù)是在蜜罐技術(shù)基礎(chǔ)上、由多個蜜罐構(gòu)建的誘捕網(wǎng)絡(luò)蜜網(wǎng)可采用虛擬機(jī)實現(xiàn)，構(gòu)建虛擬蜜網(wǎng)入侵響應(yīng)技術(shù)主動響應(yīng)入侵檢測系統(tǒng)監(jiān)測到入侵行為發(fā)生后，自身或同其他網(wǎng)絡(luò)安全措施（如防火墻）一起阻斷攻擊行為甚至發(fā)起反擊被動響應(yīng)入侵檢測系統(tǒng)監(jiān)測到入侵行為發(fā)生后發(fā)出報警和通知Snort系統(tǒng)一個開源的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)，小巧靈活，能力強(qiáng)，在全世界范圍