云計(jì)算及安全-云計(jì)算及入侵檢測(cè)

云計(jì)算與入侵檢測(cè)概述入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作云計(jì)算分層平安和入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作云計(jì)算分層平安和入侵檢測(cè)系統(tǒng)IDS存在與發(fā)展的必定性一、網(wǎng)絡(luò)攻擊造成的破壞性和損失日益嚴(yán)峻二、網(wǎng)絡(luò)平安威逼日益增長(zhǎng)三、單純的防火墻無(wú)法防范困難多變的攻擊IDS的作用為什么須要IDS單一防護(hù)產(chǎn)品的弱點(diǎn)防衛(wèi)方法和防衛(wèi)策略的有限性動(dòng)態(tài)多變的網(wǎng)絡(luò)環(huán)境來(lái)自外部和內(nèi)部的威逼為什么須要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能反抗外部來(lái)的入侵行為自身存在弱點(diǎn)，也可能被攻破對(duì)某些攻擊疼惜很弱即使透過(guò)防火墻的疼惜，合法的運(yùn)用者仍會(huì)非法地運(yùn)用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請(qǐng)求，但是對(duì)于入侵者的攻擊行為仍一竅不通為什么須要IDS入侵很簡(jiǎn)潔入侵教程隨處可見(jiàn)各種工具唾手可得網(wǎng)絡(luò)平安工具的特點(diǎn)優(yōu)點(diǎn)局限性防火墻可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟無(wú)法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤警率高，緩慢攻擊，新的攻擊模式Scanner完全主動(dòng)式安全工具，能夠了解網(wǎng)絡(luò)現(xiàn)有的安全水平，簡(jiǎn)單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問(wèn)題，并不能真正了解網(wǎng)絡(luò)上即時(shí)發(fā)生的攻擊VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防病毒針對(duì)文件與郵件，產(chǎn)品成熟功能單一傳統(tǒng)的信息平安方法接受?chē)?yán)格的訪問(wèn)限制和數(shù)據(jù)加密策略來(lái)防護(hù)，但在困難系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)平安不行缺的部分但不能完全保證系統(tǒng)的平安入侵檢測(cè)（IntrusionDetection）是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)覺(jué)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和被攻擊的跡象入侵檢測(cè)IntrusionDetection入侵檢測(cè)的定義對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)覺(jué)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測(cè)系統(tǒng)：進(jìn)行入侵檢測(cè)的軟件與硬件的組合（IDS:IntrusionDetectionSystem）IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件（1）信息收集（2）分析引擎（3）響應(yīng)部件信息搜集信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為須要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)信息收集入侵檢測(cè)的效果很大程度上依靠于收集信息的牢靠性和正確性要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特殊是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)實(shí)性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)書(shū)目和文件的異樣變更程序執(zhí)行中的異樣行為系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID變更、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容明顯，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是:重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等系統(tǒng)書(shū)目和文件的異樣變更網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件常常是黑客修改或破壞的目標(biāo)書(shū)目和文件中的不期望的變更（包括修改、創(chuàng)建和刪除），特殊是那些正常狀況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)入侵者常常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件分析引擎分析引擎

模式匹配統(tǒng)計(jì)分析完整性分析，往往用于事后分析模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)覺(jué)違反平安策略的行為一般來(lái)講，一種攻擊模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該過(guò)程可以很簡(jiǎn)潔（如通過(guò)字符串匹配以找尋一個(gè)簡(jiǎn)潔的條目或指令），也可以很困難（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示平安狀態(tài)的變更）統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、書(shū)目和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常運(yùn)用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）測(cè)量屬性的平均值和偏差被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何視察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓陌ㄎ募蜁?shū)目的內(nèi)容及屬性在發(fā)覺(jué)被更改的、被安裝木馬的應(yīng)用程序方面特殊有效響應(yīng)部件響應(yīng)動(dòng)作簡(jiǎn)潔報(bào)警切斷連接封鎖用戶變更文件屬性最猛烈反應(yīng)：回?fù)艄粽呷肭謾z測(cè)系統(tǒng)性能關(guān)鍵參數(shù)誤報(bào)(falsepositive)：假如系統(tǒng)錯(cuò)誤地將異樣活動(dòng)定義為入侵漏報(bào)(falsenegative)：假如系統(tǒng)未能檢測(cè)出真正的入侵行為入侵檢測(cè)系統(tǒng)的分類（1）依據(jù)分析方法（檢測(cè)方法）異樣檢測(cè)模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)當(dāng)具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵誤用檢測(cè)模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵入侵檢測(cè)系統(tǒng)的分類網(wǎng)絡(luò)IDS:網(wǎng)絡(luò)IDS（NIDS）通常以非破壞方式運(yùn)用。這種設(shè)備能夠捕獲LAN區(qū)域中的信息流并試著將實(shí)時(shí)信息流與已知的攻擊簽名進(jìn)行比照。主機(jī)IDS：主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）是一種用于監(jiān)控單個(gè)主機(jī)上的活動(dòng)的軟件應(yīng)用。監(jiān)控方法包括驗(yàn)證操作系統(tǒng)與應(yīng)用調(diào)用及檢查日志文件、文件系統(tǒng)信息與網(wǎng)絡(luò)連接?；旌闲偷膬深怚DS監(jiān)測(cè)軟件網(wǎng)絡(luò)IDS偵測(cè)速度快隱藏性好視野更寬較少的監(jiān)測(cè)器占資源少主機(jī)IDS視野集中易于用戶自定義疼惜更加周密對(duì)網(wǎng)絡(luò)流量不敏感概述入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作云計(jì)算分層平安和入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作云計(jì)算分層平安和入侵檢測(cè)系統(tǒng)制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測(cè)系統(tǒng)用戶可以分為網(wǎng)絡(luò)平安專家或管理員、系統(tǒng)管理員、平安調(diào)查員。這三類人員對(duì)系統(tǒng)的運(yùn)用目的、方式和熟悉程度不同，必需區(qū)分對(duì)待操作運(yùn)行環(huán)境：入侵檢測(cè)系統(tǒng)供應(yīng)的信息形式依靠其運(yùn)行環(huán)境系統(tǒng)目標(biāo)：為用戶供應(yīng)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)，須要部分地供應(yīng)主動(dòng)響應(yīng)機(jī)制規(guī)則或法令的需求：在某些軍事環(huán)境里，允許實(shí)行主動(dòng)防衛(wèi)甚至攻擊技術(shù)來(lái)應(yīng)付入侵行為響應(yīng)策略彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他平安產(chǎn)品交互FirewallSNMPTrap壓制調(diào)速

1、撤消連接

2、回避

3、隔離SYN/ACKRESETs自動(dòng)響應(yīng)一個(gè)高級(jí)的網(wǎng)絡(luò)節(jié)點(diǎn)在運(yùn)用“壓制調(diào)速”技術(shù)的狀況下，可以接受路由器把攻擊者引導(dǎo)到一個(gè)經(jīng)過(guò)特殊裝備的系統(tǒng)上，這種系統(tǒng)被成為蜜罐蜜罐是一種欺瞞手段，它可以用于錯(cuò)誤地誘導(dǎo)攻擊者，也可以用于收集攻擊信息，以改進(jìn)防衛(wèi)實(shí)力蜜罐能采集的信息量由自身能供應(yīng)的手段以及攻擊行為數(shù)量確定蜜罐概述入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作云計(jì)算分層平安和入侵檢測(cè)系統(tǒng)IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵的活動(dòng)變得困難而又難以捉摸網(wǎng)絡(luò)的平安要求IDS之間能夠相互協(xié)作，能夠與訪問(wèn)限制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，形成一個(gè)整體有效的平安保障系統(tǒng)須要一個(gè)標(biāo)準(zhǔn)來(lái)加以指導(dǎo)，系統(tǒng)之間要有一個(gè)約定CIDF

(TheCommonIntrusionDetectionFramework):///draftsCIDFCIDF早期由美國(guó)國(guó)防部高級(jí)探討支配局贊助探討，現(xiàn)在由CIDF工作組負(fù)責(zé)，這是一個(gè)開(kāi)放組織。事實(shí)上CIDF已經(jīng)成為一個(gè)開(kāi)放的共享的資源CIDF是一套規(guī)范，它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議符合CIDF規(guī)范的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)協(xié)作實(shí)施統(tǒng)一的配置響應(yīng)和復(fù)原策略CIDF的主要作用在于集成各種IDS，使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)CIDF規(guī)格文檔CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)：闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型規(guī)范語(yǔ)言：定義了一個(gè)用來(lái)描述各種檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言內(nèi)部通訊：定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議程序接口：供應(yīng)了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口通信層次CIDF將各組件之間的通信劃分為三個(gè)層次結(jié)構(gòu)：GIDO層（GIDOlayer）、消息層（Messagelayer）和傳輸層（NegotiatedTransportlayer）其中傳輸層不屬于CIDF規(guī)范，它可以接受很多種現(xiàn)有的傳輸機(jī)制來(lái)實(shí)現(xiàn)消息層負(fù)責(zé)對(duì)傳輸?shù)男畔⑦M(jìn)行加密認(rèn)證，然后將其牢靠地從源傳輸?shù)侥康牡兀硬魂P(guān)切傳輸?shù)膬?nèi)容，它只負(fù)責(zé)建立一個(gè)牢靠的傳輸通道GIDO層負(fù)責(zé)對(duì)傳輸信息的格式化，正是因?yàn)橛辛薌IDO這種統(tǒng)一的信息表達(dá)格式，才使得各個(gè)IDS之間的互操作成為可能CISL

(ACommonIntrusionSpecificationLanguage)CIDF的規(guī)范語(yǔ)言文檔定義了一個(gè)公共入侵標(biāo)準(zhǔn)語(yǔ)言CISL，各IDS運(yùn)用統(tǒng)一的CISL來(lái)表示原始事務(wù)信息、分析結(jié)果和響應(yīng)指令，從而建立了IDS之間信息共享的基礎(chǔ)CISL是CIDF的最核心也是最重要的內(nèi)容匹配服務(wù)法（匹配器）CIDF的匹配服務(wù)為CIDF各組件之間的相互識(shí)別、定位和信息共享供應(yīng)了一個(gè)標(biāo)準(zhǔn)的統(tǒng)一的機(jī)制匹配器的實(shí)現(xiàn)是基于輕量書(shū)目訪問(wèn)協(xié)議（LDAP）的，每個(gè)組件通過(guò)書(shū)目服務(wù)注冊(cè)，并公告它能夠產(chǎn)生或能夠處理的GIDO，這樣組件就被分類存放，其它組件就可以便利地查找到那些它們須要通信的組件書(shū)目中還可以存放組件的公共密鑰，從而實(shí)現(xiàn)對(duì)組件接收和發(fā)送GIDO時(shí)的身份認(rèn)證

匹配器構(gòu)成通信模塊：實(shí)現(xiàn)客戶端（可為任何一個(gè)CIDF組件）與匹配代理之間的通信協(xié)議匹配代理：一個(gè)任務(wù)是處理從遠(yuǎn)端組件到它的客戶端的輸入懇求，另一個(gè)任務(wù)是處理從它的客戶端到遠(yuǎn)端組件的輸出懇求認(rèn)證和授權(quán)模塊：使一個(gè)組件能夠鑒別其它組件，使客戶端與匹配代理之間能夠相互鑒別客戶端緩沖區(qū)：使客戶端能夠?qū)ψ罱⒌囊恍╆P(guān)聯(lián)信息進(jìn)行緩沖存儲(chǔ)CIDF程序接口CIDF的程序接口文檔描述了用于GIDO編解碼以及傳輸?shù)臉?biāo)準(zhǔn)應(yīng)用程序接口（以下簡(jiǎn)稱為API），它包括以下幾部分內(nèi)容GIDO編碼和解碼API（GIDOEncoding/DecodingAPISpecification）消息層API（MessageLayerAPISpecification）

GIDO動(dòng)態(tài)追加API（GIDOAddendumAPI）簽名API（SignatureAPI）頂層CIDF的API（Top-LevelCIDFAPI）每類API均包含數(shù)據(jù)結(jié)構(gòu)定義、函數(shù)定義和錯(cuò)誤代碼定義等CIDF的應(yīng)用目前CIDF還沒(méi)有成為正式的標(biāo)準(zhǔn)，也沒(méi)有一個(gè)商業(yè)IDS產(chǎn)品完全遵循該規(guī)范，但各種IDS的結(jié)構(gòu)模型具有很大的相像性，各廠商都在依據(jù)CIDF進(jìn)行信息交換的標(biāo)準(zhǔn)化工作，有些產(chǎn)品已經(jīng)可以部分地支持CIDF可以預(yù)料，隨著分布式IDS的發(fā)展，各種IDS互操作和協(xié)同工作的迫切須要，各種IDS產(chǎn)品必需遵循統(tǒng)一的框架結(jié)構(gòu)，CIDF將成為事實(shí)上的IDS的工業(yè)標(biāo)準(zhǔn)概述入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理入侵檢測(cè)響應(yīng)機(jī)制入侵檢測(cè)標(biāo)準(zhǔn)化工作云計(jì)算分層平安和入侵檢測(cè)系統(tǒng)分層平安方法運(yùn)用分層平安方法會(huì)最大化發(fā)揮入侵檢測(cè)系統(tǒng)（IDS）的功效。分層平安機(jī)制意味著接受了多種措施來(lái)確保數(shù)據(jù)平安，因此增加了攻擊者滲透到網(wǎng)絡(luò)中所須要的工作負(fù)載和時(shí)間。對(duì)數(shù)據(jù)實(shí)施平安防護(hù)所運(yùn)用的平安部件和平安層次越多，基礎(chǔ)設(shè)施的平安性就越高。分層平安方法組成部分平安策略、平安過(guò)程、平安標(biāo)準(zhǔn)以及平安指南，包括一個(gè)頂層的平安策略；邊界平安，例如路由器、防火墻和其他邊界設(shè)備；硬件和軟件的主機(jī)平安產(chǎn)品；審計(jì)、監(jiān)控、入侵檢測(cè)與響應(yīng)。云平臺(tái)入侵檢測(cè)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，并/或?qū)χ鳈C(jī)審計(jì)日志進(jìn)行監(jiān)控，確保能夠檢測(cè)到是否有違反組織平安策略的事務(wù)發(fā)生。入侵檢測(cè)系統(tǒng)能夠發(fā)覺(jué)那些規(guī)避或繞開(kāi)防火墻的入侵行為，以及防火墻內(nèi)部本地局域網(wǎng)正在發(fā)生的入侵行為。關(guān)鍵問(wèn)題：對(duì)可能被攻擊的資產(chǎn)進(jìn)行疼惜；假如某個(gè)事故不須要應(yīng)急響應(yīng)服務(wù)，那就疼惜資源使其得到最大化利用；遵循政府或其他相關(guān)法律法規(guī)；防止你的系統(tǒng)被用于攻擊其他系統(tǒng)；盡可能地降低潛在的負(fù)面影響?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）通常位于獨(dú)立的網(wǎng)段，對(duì)該網(wǎng)絡(luò)段的通信進(jìn)行監(jiān)控。網(wǎng)絡(luò)數(shù)據(jù)包的簽名匹配：字符串簽名端口簽名報(bào)頭狀態(tài)簽名被動(dòng)地獲得數(shù)據(jù)，能夠在不消耗網(wǎng)絡(luò)或主機(jī)資源的狀況下供應(yīng)牢靠的實(shí)時(shí)信息。問(wèn)題：無(wú)法檢測(cè)到攻擊者通過(guò)終端連接到主機(jī)上對(duì)主機(jī)的攻擊?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)（HIDS）運(yùn)用主機(jī)上的小程序監(jiān)控操作系統(tǒng)的行為是否正常，并在檢測(cè)到異樣時(shí)寫(xiě)日志文件或觸發(fā)警報(bào)。HIDS的特征：對(duì)系統(tǒng)關(guān)鍵文件的訪問(wèn)和變動(dòng)進(jìn)行監(jiān)控，對(duì)用戶權(quán)限的變動(dòng)進(jìn)行監(jiān)控；發(fā)覺(jué)內(nèi)部可信人員攻擊的實(shí)力比NIDS強(qiáng)；檢測(cè)源自外部的攻擊實(shí)力相對(duì)較強(qiáng)；通過(guò)配置可以檢測(cè)被監(jiān)控主機(jī)上全部的網(wǎng)絡(luò)數(shù)據(jù)包、連接嘗試或登錄嘗試，包括撥號(hào)嘗試或其他與網(wǎng)絡(luò)無(wú)關(guān)的通信端口。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）通常位于獨(dú)立的網(wǎng)段，對(duì)該網(wǎng)絡(luò)段的通信進(jìn)行監(jiān)控。網(wǎng)絡(luò)數(shù)據(jù)包的簽名匹配：字符串簽名端口簽名報(bào)頭狀態(tài)簽名被動(dòng)地獲得數(shù)據(jù)，能夠在不消耗網(wǎng)絡(luò)或主機(jī)資源的狀況下供應(yīng)牢靠的實(shí)時(shí)信息。問(wèn)題：無(wú)法檢測(cè)到攻擊者通過(guò)終端連接到主機(jī)上對(duì)主機(jī)的攻擊?；诤灻娜肭謾z測(cè)系統(tǒng)系統(tǒng)中存儲(chǔ)了用于刻畫(huà)攻擊的簽名或?qū)傩砸员銋⒖肌．?dāng)從主