云計算與入侵檢測

云計算與入侵檢測1a云計算與入侵檢測1a

概述入侵檢測方法入侵檢測系統(tǒng)的設(shè)計原理入侵檢測響應(yīng)機制入侵檢測標(biāo)準(zhǔn)化工作

云計算分層安全和入侵檢測系統(tǒng)2a概述2a

概述入侵檢測方法入侵檢測系統(tǒng)的設(shè)計原理入侵檢測響應(yīng)機制入侵檢測標(biāo)準(zhǔn)化工作云計算分層安全和入侵檢測系統(tǒng)3a概述3aIDS存在與發(fā)展的必然性一、網(wǎng)絡(luò)攻擊造成的破壞性和損失日益嚴(yán)重二、網(wǎng)絡(luò)安全威脅日益增長三、單純的防火墻無法防范復(fù)雜多變的攻擊4aIDS存在與發(fā)展的必然性一、網(wǎng)絡(luò)攻擊造成的破壞性和損失日益嚴(yán)IDS的作用5aIDS的作用5a為什么需要IDS單一防護產(chǎn)品的弱點防御方法和防御策略的有限性動態(tài)多變的網(wǎng)絡(luò)環(huán)境來自外部和內(nèi)部的威脅6a為什么需要IDS單一防護產(chǎn)品的弱點6a為什么需要IDS關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵擋外部來的入侵行為自身存在弱點，也可能被攻破對某些攻擊保護很弱即使透過防火墻的保護，合法的使用者仍會非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請求，但是對于入侵者的攻擊行為仍一無所知7a為什么需要IDS關(guān)于防火墻7a為什么需要IDS入侵很容易入侵教程隨處可見各種工具唾手可得8a為什么需要IDS入侵很容易8a網(wǎng)絡(luò)安全工具的特點優(yōu)點局限性防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無法處理網(wǎng)絡(luò)內(nèi)部的攻擊IDS實時監(jiān)控網(wǎng)絡(luò)安全狀態(tài)誤警率高，緩慢攻擊，新的攻擊模式Scanner完全主動式安全工具，能夠了解網(wǎng)絡(luò)現(xiàn)有的安全水平，簡單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實際問題，并不能真正了解網(wǎng)絡(luò)上即時發(fā)生的攻擊VPN保護公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個漏洞防病毒針對文件與郵件，產(chǎn)品成熟功能單一9a網(wǎng)絡(luò)安全工具的特點優(yōu)點局限性防火墻可簡化網(wǎng)絡(luò)管理，產(chǎn)品成熟無傳統(tǒng)的信息安全方法采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護，但在復(fù)雜系統(tǒng)中，這些策略是不充分的。它們是系統(tǒng)安全不可缺的部分但不能完全保證系統(tǒng)的安全入侵檢測（IntrusionDetection）是對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測IntrusionDetection10a傳統(tǒng)的信息安全方法采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護，但入侵檢測的定義對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合（IDS:IntrusionDetectionSystem）11a入侵檢測的定義對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻IDS基本結(jié)構(gòu)入侵檢測系統(tǒng)包括三個功能部件（1）信息收集（2）分析引擎（3）響應(yīng)部件12aIDS基本結(jié)構(gòu)入侵檢測系統(tǒng)包括三個功能部件12a信息搜集13a信息搜集13a信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息盡可能擴大檢測范圍從一個源來的信息有可能看不出疑點14a信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、信息收集入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而收集到錯誤的信息15a信息收集入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為16a信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件16a系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容顯然，對用戶活動來講，不正常的或不期望的行為就是:重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等17a系統(tǒng)或網(wǎng)絡(luò)的日志文件攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件18a系統(tǒng)目錄和文件的異常變化網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)分析引擎19a分析引擎19a分析引擎

模式匹配統(tǒng)計分析完整性分析，往往用于事后分析20a分析引擎模式匹配20a模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）21a模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生22a統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效23a完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?3a響應(yīng)部件24a響應(yīng)部件24a響應(yīng)動作簡單報警切斷連接封鎖用戶改變文件屬性最強烈反應(yīng)：回擊攻擊者25a響應(yīng)動作簡單報警25a入侵檢測系統(tǒng)性能關(guān)鍵參數(shù)誤報(falsepositive)：如果系統(tǒng)錯誤地將異常活動定義為入侵漏報(falsenegative)：如果系統(tǒng)未能檢測出真正的入侵行為26a入侵檢測系統(tǒng)性能關(guān)鍵參數(shù)誤報(falsepositive)入侵檢測系統(tǒng)的分類（1）按照分析方法（檢測方法）異常檢測模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認為是入侵

誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵

27a入侵檢測系統(tǒng)的分類（1）按照分析方法（檢測方法）27a入侵檢測系統(tǒng)的分類網(wǎng)絡(luò)IDS:網(wǎng)絡(luò)IDS（NIDS）通常以非破壞方式使用。這種設(shè)備能夠捕獲LAN區(qū)域中的信息流并試著將實時信息流與已知的攻擊簽名進行對照。主機IDS：主機入侵檢測系統(tǒng)（HIDS）是一種用于監(jiān)控單個主機上的活動的軟件應(yīng)用。監(jiān)控方法包括驗證操作系統(tǒng)與應(yīng)用調(diào)用及檢查日志文件、文件系統(tǒng)信息與網(wǎng)絡(luò)連接?；旌闲偷?8a入侵檢測系統(tǒng)的分類網(wǎng)絡(luò)IDS:主機IDS：混合型的28a兩類IDS監(jiān)測軟件網(wǎng)絡(luò)IDS偵測速度快隱蔽性好視野更寬較少的監(jiān)測器占資源少主機IDS視野集中易于用戶自定義保護更加周密對網(wǎng)絡(luò)流量不敏感29a兩類IDS監(jiān)測軟件網(wǎng)絡(luò)IDS主機IDS29a

概述

入侵檢測方法

入侵檢測系統(tǒng)的設(shè)計原理入侵檢測響應(yīng)機制入侵檢測標(biāo)準(zhǔn)化工作云計算分層安全和入侵檢測系統(tǒng)30a概述30a31a31a

概述

入侵檢測方法入侵檢測系統(tǒng)的設(shè)計原理

入侵檢測響應(yīng)機制入侵檢測標(biāo)準(zhǔn)化工作云計算分層安全和入侵檢測系統(tǒng)32a概述32a制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測系統(tǒng)用戶可以分為網(wǎng)絡(luò)安全專家或管理員、系統(tǒng)管理員、安全調(diào)查員。這三類人員對系統(tǒng)的使用目的、方式和熟悉程度不同，必須區(qū)別對待操作運行環(huán)境：入侵檢測系統(tǒng)提供的信息形式依賴其運行環(huán)境系統(tǒng)目標(biāo)：為用戶提供關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)，需要部分地提供主動響應(yīng)機制規(guī)則或法令的需求：在某些軍事環(huán)境里，允許采取主動防御甚至攻擊技術(shù)來對付入侵行為33a制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測系統(tǒng)用戶可以分為網(wǎng)響應(yīng)策略彈出窗口報警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap34a響應(yīng)策略彈出窗口報警34a壓制調(diào)速

1、撤消連接

2、回避

3、隔離SYN/ACKRESETs自動響應(yīng)35a壓制調(diào)速自動響應(yīng)35a一個高級的網(wǎng)絡(luò)節(jié)點在使用“壓制調(diào)速”技術(shù)的情況下，可以采用路由器把攻擊者引導(dǎo)到一個經(jīng)過特殊裝備的系統(tǒng)上，這種系統(tǒng)被成為蜜罐蜜罐是一種欺騙手段，它可以用于錯誤地誘導(dǎo)攻擊者，也可以用于收集攻擊信息，以改進防御能力蜜罐能采集的信息量由自身能提供的手段以及攻擊行為數(shù)量決定

蜜罐36a一個高級的網(wǎng)絡(luò)節(jié)點在使用“壓制調(diào)速”技術(shù)的情況下，可以采用路

概述

入侵檢測方法入侵檢測系統(tǒng)的設(shè)計原理入侵檢測響應(yīng)機制

入侵檢測標(biāo)準(zhǔn)化工作云計算分層安全和入侵檢測系統(tǒng)37a概述37aIDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵的活動變得復(fù)雜而又難以捉摸網(wǎng)絡(luò)的安全要求IDS之間能夠相互協(xié)作，能夠與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，形成一個整體有效的安全保障系統(tǒng)需要一個標(biāo)準(zhǔn)來加以指導(dǎo)，系統(tǒng)之間要有一個約定38aIDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴大，網(wǎng)絡(luò)入侵的方式、類型、特CIDF

(TheCommonIntrusionDetectionFramework)/drafts39aCIDF

(TheCommonIntrusionDetCIDFCIDF早期由美國國防部高級研究計劃局贊助研究，現(xiàn)在由CIDF工作組負責(zé)，這是一個開放組織。實際上CIDF已經(jīng)成為一個開放的共享的資源CIDF是一套規(guī)范，它定義了IDS表達檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議符合CIDF規(guī)范的IDS可以共享檢測信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS，使之協(xié)同工作，實現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)40aCIDFCIDF早期由美國國防部高級研究計劃局贊助研究，現(xiàn)在CIDF規(guī)格文檔

CIDF的規(guī)格文檔由四部分組成，分別為：體系結(jié)構(gòu)：闡述了一個標(biāo)準(zhǔn)的IDS的通用模型規(guī)范語言：定義了一個用來描述各種檢測信息的標(biāo)準(zhǔn)語言內(nèi)部通訊：定義了IDS組件之間進行通信的標(biāo)準(zhǔn)協(xié)議程序接口：提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口41aCIDF規(guī)格文檔CIDF的規(guī)格文檔由四部分組成，分別為：通信層次CIDF將各組件之間的通信劃分為三個層次結(jié)構(gòu)：GIDO層（GIDOlayer）、消息層（Messagelayer）和傳輸層（NegotiatedTransportlayer）其中傳輸層不屬于CIDF規(guī)范，它可以采用很多種現(xiàn)有的傳輸機制來實現(xiàn)消息層負責(zé)對傳輸?shù)男畔⑦M行加密認證，然后將其可靠地從源傳輸?shù)侥康牡?，消息層不關(guān)心傳輸?shù)膬?nèi)容，它只負責(zé)建立一個可靠的傳輸通道GIDO層負責(zé)對傳輸信息的格式化，正是因為有了GIDO這種統(tǒng)一的信息表達格式，才使得各個IDS之間的互操作成為可能42a通信層次CIDF將各組件之間的通信劃分為三個層次結(jié)構(gòu)：GIDCISL

(ACommonIntrusionSpecificationLanguage)CIDF的規(guī)范語言文檔定義了一個公共入侵標(biāo)準(zhǔn)語言CISL，各IDS使用統(tǒng)一的CISL來表示原始事件信息、分析結(jié)果和響應(yīng)指令，從而建立了IDS之間信息共享的基礎(chǔ)CISL是CIDF的最核心也是最重要的內(nèi)容43aCISL

(ACommonIntrusionSpeci匹配服務(wù)法（匹配器）CIDF的匹配服務(wù)為CIDF各組件之間的相互識別、定位和信息共享提供了一個標(biāo)準(zhǔn)的統(tǒng)一的機制匹配器的實現(xiàn)是基于輕量目錄訪問協(xié)議（LDAP）的，每個組件通過目錄服務(wù)注冊，并公告它能夠產(chǎn)生或能夠處理的GIDO，這樣組件就被分類存放，其它組件就可以方便地查找到那些它們需要通信的組件目錄中還可以存放組件的公共密鑰，從而實現(xiàn)對組件接收和發(fā)送GIDO時的身份認證

44a匹配服務(wù)法（匹配器）CIDF的匹配服務(wù)為CIDF各組件之間的匹配器構(gòu)成通信模塊：實現(xiàn)客戶端（可為任何一個CIDF組件）與匹配代理之間的通信協(xié)議匹配代理：一個任務(wù)是處理從遠端組件到它的客戶端的輸入請求，另一個任務(wù)是處理從它的客戶端到遠端組件的輸出請求認證和授權(quán)模塊：使一個組件能夠鑒別其它組件，使客戶端與匹配代理之間能夠相互鑒別客戶端緩沖區(qū)：使客戶端能夠?qū)ψ罱⒌囊恍╆P(guān)聯(lián)信息進行緩沖存儲45a匹配器構(gòu)成通信模塊：實現(xiàn)客戶端（可為任何一個CIDF組件）與CIDF程序接口CIDF的程序接口文檔描述了用于GIDO編解碼以及傳輸?shù)臉?biāo)準(zhǔn)應(yīng)用程序接口（以下簡稱為API），它包括以下幾部分內(nèi)容GIDO編碼和解碼API（GIDOEncoding/DecodingAPISpecification）消息層API（MessageLayerAPISpecification）

GIDO動態(tài)追加API（GIDOAddendumAPI）簽名API（SignatureAPI）頂層CIDF的API（Top-LevelCIDFAPI）每類API均包含數(shù)據(jù)結(jié)構(gòu)定義、函數(shù)定義和錯誤代碼定義等46aCIDF程序接口CIDF的程序接口文檔描述了用于GICIDF的應(yīng)用目前CIDF還沒有成為正式的標(biāo)準(zhǔn)，也沒有一個商業(yè)IDS產(chǎn)品完全遵循該規(guī)范，但各種IDS的結(jié)構(gòu)模型具有很大的相似性，各廠商都在按照CIDF進行信息交換的標(biāo)準(zhǔn)化工作，有些產(chǎn)品已經(jīng)可以部分地支持CIDF可以預(yù)測，隨著分布式IDS的發(fā)展，各種IDS互操作和協(xié)同工作的迫切需要，各種IDS產(chǎn)品必須遵循統(tǒng)一的框架結(jié)構(gòu)，CIDF將成為事實上的IDS的工業(yè)標(biāo)準(zhǔn)47aCIDF的應(yīng)用目前CIDF還沒有成為正式的標(biāo)準(zhǔn)，也沒有一個商

概述

入侵檢測方法入侵檢測系統(tǒng)的設(shè)計原理入侵檢測響應(yīng)機制

入侵檢測標(biāo)準(zhǔn)化工作

云計算分層安全和入侵檢測系統(tǒng)48a概述48a分層安全方法使用分層安全方法會最大化發(fā)揮入侵檢測系統(tǒng)（IDS）的功效。分層安全機制意味著采用了多種措施來確保數(shù)據(jù)安全，因此增加了攻擊者滲透到網(wǎng)絡(luò)中所需要的工作負載和時間。對數(shù)據(jù)實施安全防護所使用的安全部件和安全層次越多，基礎(chǔ)設(shè)施的安全性就越高。49a分層安全方法使用分層安全方法會最大化發(fā)揮入侵檢測系統(tǒng)（IDS分層安全方法組成部分安全策略、安全過程、安全標(biāo)準(zhǔn)以及安全指南，包括一個頂層的安全策略；邊界安全，例如路由器、防火墻和其他邊界設(shè)備；硬件和軟件的主機安全產(chǎn)品；審計、監(jiān)控、入侵檢測與響應(yīng)。50a分層安全方法組成部分安全策略、安全過程、安全標(biāo)準(zhǔn)以及安全指南云平臺入侵檢測對網(wǎng)絡(luò)流量進行監(jiān)控，并/或?qū)χ鳈C審計日志進行監(jiān)控，確保能夠檢測到是否有違背組織安全策略的事件發(fā)生。入侵檢測系統(tǒng)能夠發(fā)現(xiàn)那些規(guī)避或繞開防火墻的入侵行為，以及防火墻內(nèi)部本地局域網(wǎng)正在發(fā)生的入侵行為。關(guān)鍵問題：對可能被攻擊的資產(chǎn)進行保護；如果某個事故不需要應(yīng)急響應(yīng)服務(wù)，那就保護資源使其得到最大化利用；遵循政府或其他相關(guān)法律法規(guī)；防止你的系統(tǒng)被用于攻擊其他系統(tǒng)；盡可能地降低潛在的負面影響。51a云平臺入侵檢測對網(wǎng)絡(luò)流量進行監(jiān)控，并/或?qū)χ鳈C審計日志進行監(jiān)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）通常位于獨立的網(wǎng)段，對該網(wǎng)絡(luò)段的通信進行監(jiān)控。網(wǎng)絡(luò)數(shù)據(jù)包的簽名匹配：字符串簽名端口簽名報頭狀態(tài)簽名被動地獲取數(shù)據(jù)，能夠在不消耗網(wǎng)絡(luò)或主機資源的情況下提供可靠的實時信息。問題：無法檢測到攻擊者通過終端連接到主機上對主機的攻擊。52a基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）通常位于獨立的網(wǎng)段，對該網(wǎng)基于主機的入侵檢測系統(tǒng)（HIDS）使用主機上的小程序監(jiān)控操作系統(tǒng)的行為是否正常，并在檢測到異常時寫日志文件或觸發(fā)警報。HIDS的特征：對系統(tǒng)關(guān)鍵文件的訪問和變動進行監(jiān)控，對用戶權(quán)限的變動進行監(jiān)控；發(fā)現(xiàn)內(nèi)部可信人員攻擊的能力比NIDS強；檢測源自外部的攻擊能力相對較強；通過配置可以檢測被監(jiān)控主機上所有的網(wǎng)絡(luò)數(shù)據(jù)包、連接嘗試或登錄嘗試，包括撥號嘗試或其他與網(wǎng)絡(luò)無關(guān)的通信端口。53a基于主機的入侵檢測系統(tǒng)（HIDS）使用主機上的小程序監(jiān)控操作基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）通常位于獨立的網(wǎng)段，對該網(wǎng)絡(luò)段的通信進行監(jiān)控。網(wǎng)絡(luò)數(shù)據(jù)包的簽名匹配：字符串簽名端口簽名報頭狀態(tài)簽名被動地獲取數(shù)據(jù)，能夠在不消耗網(wǎng)絡(luò)或主機資源的情況下提供可靠的實時信息。問題：無法檢測到攻擊者通過終端連接到主機上對主機的攻擊。54