1、名詞解析IDES入侵檢測專家系統(tǒng)。采取了一 組特征量度值來建立系統(tǒng)活動的正常 行為模式，之后計算出當前用戶行為 與先前正?；顒幽Ｊ降钠x程度，并 根據偏離程度的大小來判斷是否發(fā)生 了入侵活動。NSM網絡安全監(jiān)控器DIDS分布式入侵檢測系統(tǒng)。首次將 主機入侵檢測和網絡入侵檢測技術進 行集成的一次努力，他具備在目標網 絡環(huán)境下跟蹤特定用戶異常活動的能 力P2DR (Policy 策略、Protection 防護、 Detection 檢測、Response 響應)動 態(tài)計算機系統(tǒng)安全理論模型。MIB管理信息庫OSI開放系統(tǒng)互連參考模型，包括 應用層，表示層，會話層，傳輸層， 網絡層，數據鏈路層，物

2、理層。RARP逆地址解析協(xié)議。提供從物理 地址到IP地址映像服務。ICMP網際控制報文協(xié)議。用來提供 差錯報告服務的協(xié)議。必須包含在每 個IP協(xié)議實現(xiàn)中。TCP傳輸控制協(xié)議。在一對高層協(xié) 議之間在數據報服務的基礎上建立可 靠地端對端連接UDP用戶數據報協(xié)議。提供應用進程 之間傳送數據報的基本機制ULP高層協(xié)議CMIP通用管理信息協(xié)議HEG主機事件發(fā)生器NID網絡用戶標識KDD數據庫知識發(fā)現(xiàn)。指出背景是 解決日一整張的數據量與快速分析數 據要求之間的矛盾問題，目標是采取 各種特定的算法在海量數據中法相有 用的課理解的數據模式。ELFF擴展日志文件格式。除了 CLF 所定義的數據字段外，還擴展包含

3、了 其他的附加信息。CLF通用日志格式。從早期NCSA的 Web服務器版本書中繼承下來的日志 格式簡答題1、主機審計：產生、記錄并檢查按 照時間順序排列的系統(tǒng)事件記錄的過 程。2、入侵是對信息系統(tǒng)的非授權訪問 以及(或者)未經許可在信息系統(tǒng)中 進行的操作。3、入侵檢測是對企圖入侵、正在進 行的入侵或者已經發(fā)生的入侵進行識 別的過程。4、P2DR模型是一個動態(tài)的計算機系 統(tǒng)安全理論模型，特點是動態(tài)性和基 于時間的特性。入侵檢測系統(tǒng)需要根 據現(xiàn)有已知的安全策略信息，來更好 地配置系統(tǒng)模塊參數信息，當發(fā)現(xiàn)入 侵行為后，入侵檢測系統(tǒng)會通過響應 模塊改變系統(tǒng)的防護措施，改善系統(tǒng) 的防護能力，從而實現(xiàn)動態(tài)

4、的系統(tǒng)安 全模型。因此從技術手段上分析，入 侵檢測可以看作是實現(xiàn)模型的承前啟 后的關鍵環(huán)節(jié)。5、操作系統(tǒng)的審計記錄存在的問題不同的系統(tǒng)在審計事件的選擇、審計 記錄的選擇和內容組織等諸多方面都 存在著兼容性的問題。另外一個是， 操作系統(tǒng)審計機制的設計和開發(fā)的初 始目標，不是為了滿足后來才出現(xiàn)的 入侵檢測技術的需求目的。6、操作系統(tǒng)審計記錄被認為是基于 主機入侵檢測技術的首選數據源： 操作系統(tǒng)的審計系統(tǒng)在設計時， 就考慮了審計記錄的結構化組織工作 以及對審計記錄內容的保護機制，因 此操作系統(tǒng)審計記錄的安全性得到了 較好的保護。操作系統(tǒng)審計記錄提供了在系統(tǒng) 內核級的事件發(fā)生情況，反映的是系 統(tǒng)底層的

5、活動情況并提供了相關的詳 盡信息，為發(fā)現(xiàn)潛在的異常行為特征 奠定了良好的基礎。7、Web服務器支持兩種日志文件： 通用日志格式(Common Log Format， CLF)。擴展日志文件格式(Extended Log File Format ELFF)。8、BSM安全審計子系統(tǒng)的主要概念包 括審計日志、審計文件、審計記錄和 審計令牌等，其中審計日志由一個或 多個審計文件組成，每個審計文件包 含多個審計記錄，而每個審計記錄則 由一組審計令牌(audit token)構 成。9、系統(tǒng)日志的安全性與操作系統(tǒng)的 審計記錄比較而言，要差一些，其原 因如下： 產生系統(tǒng)日志的軟件通常是在內 核外運行的應用

6、程序，因而這些軟件 容易受到惡意的修改或攻擊。系統(tǒng)日志通常是存儲在普通的不 受保護的文件目錄里，容易受到惡意 的篡改和刪除等操作，而審計記錄通 常以二進制文件形式存放具備較強的 保護機制。10、應用程序日志信息的必要性： 系統(tǒng)設計日益復雜，單純分析從內核 底層數據是不夠的；底層級別安全 數據的規(guī)模迅速膨脹，增加了分析難 度；入侵攻擊行為的目標集中于提 供網絡服務各種特定應用程序。存在 的問題及風險：應用程序的日志信息 易遭到惡意的攻擊，包括篡改和刪除 等操作；特定應用程序同樣存在是否 值得信賴的問題。11、網絡數據源的優(yōu)勢：采用被動 監(jiān)聽方式不影響目標監(jiān)控系統(tǒng)的運行 性能，且無須改變原有網絡結

7、構和工 作方式；嗅探器模塊可以采用對網 絡用戶透明的模式，降低了其自身被 入侵者攻擊的概率；網絡數據信息 源可發(fā)現(xiàn)主機數據源無法發(fā)現(xiàn)的攻擊 手段。相對于主機數據源網絡數據 包標準化程度更高，有利于在不同系 統(tǒng)平臺環(huán)境下的移植。12、(其他數據來源)1、其他安全 產品：其他獨立運行的安全產品；2、 網絡設備的數據：網絡管理系統(tǒng)、路 由器或交換機提供的數據信息；3、帶外數據源是指由人工方式提供的數 據信息。包括系統(tǒng)管理員對入侵檢測 系統(tǒng)所進行的各種管理控制操作，包 括策略設定、系統(tǒng)配置、結果反饋等。13、信息源的選擇問題：根據入侵檢 測系統(tǒng)設計的檢測目標來選擇。如果 要求檢測主機用戶的異常活動，或

8、特 定應用程序的運行情況等，采用主機 數據源；如需發(fā)現(xiàn)通過網絡協(xié)議發(fā)動 的入侵攻擊就網絡數據的輸入信息。 如要求監(jiān)控整個目標系統(tǒng)內的總體安 全狀況等，就需同時采用來自主機和 網絡的數據源；在分布式的環(huán)境下， 或許還要考慮到包括帶外數據在內的 其他類型數據源。14、從數據來源看，入侵檢測通常可 以分為兩類：基于主機的入侵檢測 和基于網絡的入侵檢測?；谥鳈C的入侵檢測通常從主機的審 計記錄和日志文件中獲得所需的主要 數據源，并輔之以主機上的其他信息， 在此基礎上完成檢測攻擊行為的任務?；诰W絡的入侵檢測通過監(jiān)聽網絡中 的數據包來獲得必要的數據來源，并 通過協(xié)議分析、特征匹配、統(tǒng)計分析 等手段發(fā)現(xiàn)當

9、前發(fā)生的攻擊行為。15、從數據分析手段看，入侵檢測通 ?？梢苑譃闉E用（misuse）入侵檢測 和異常（anomaly）入侵檢測。濫用入侵檢測利用這些特征集合或者 是對應的規(guī)則集合，對當前的數據來 源進行各種處理后，再進行特征匹配 或者規(guī)則匹配工作，如果發(fā)現(xiàn)滿足條 件的匹配，則指示發(fā)生了一次攻擊行 為。異常入侵檢測的假設條件是對攻擊行 為的檢測可以通過觀察當前活動與系 統(tǒng)歷史正?；顒忧闆r之間的差異來實 現(xiàn)入侵檢測的其他分類標準，例如實時 和非實時處理系統(tǒng)：非實時的檢測系統(tǒng)通常在事后收集的 審計日志文件基礎上，進行離線分析 處理，并找出可能的攻擊行為蹤跡， 目的是進行系統(tǒng)配置的修補工作，防 范以后

10、的攻擊。實時處理系統(tǒng)實時監(jiān)控，并在出現(xiàn)異 常活動時及時做出反應。實時的概念 是一個根據用戶需求而定的變量，當 系統(tǒng)分析和處理的速度處于用戶需求 范圍內時，就可以稱為實時入侵檢測 系統(tǒng)。16、審計數據的獲取是主機入侵檢測 技術的重要基石，是進行主機入侵檢 測的信息來源。審計數據的獲取質量 和數量，決定了主機入侵檢測工作的 有效程度。審計數據的獲取工作主要 需要考慮下列問題。確定審計數據的來源和類型。審計數據的預處理工作，其中包 括記錄標準格式的設計、過濾和映射 操作等。審計數據的獲取方式，包括審計 數據獲取模塊的結構設計和傳輸協(xié)議 等。17、IDES在Sun UNIX目標系統(tǒng)環(huán)境 下所收集到的審

11、計數據，主要分為4 個典型類型。文件訪問：包括對文件和目錄進 行的操作，如讀取、寫入、創(chuàng)建、刪 除和訪問控制列表的修改。系統(tǒng)訪問：包括登錄、退出、調 用以及終止超級用戶權限等。資源消耗：包括CPU、I/O和內 存的使用情況。進程創(chuàng)建命令的 調用：指示一個進程的創(chuàng)建。18、主機入侵檢測所要進行的主要工 作就是審計數據的預處理工作，包括 映射、過濾和格式轉換等操作。16、STAT系統(tǒng)的標準審計記錄格式由 3個部分定義組成：（Subject, Action, Object） Snort 的系統(tǒng)架構 分為3大部分：協(xié)議解析器、規(guī)則檢測引擎和日志/警報系統(tǒng)。19、預處理工作的必要性體現(xiàn)在以下 幾個方面。

12、有利于系統(tǒng)在不同目標平臺間的 移植；便于后繼處理模塊進行檢測工 作。需對審計記錄流進行必要的 映射和過濾等。20、審計數據獲取模塊的主要作用是 獲取目標系統(tǒng)的審計數據，并經過預 處理工作后，最終目標是為入侵檢測 的處理模塊提供一條單一的審計記錄 塊數據流，供其使用。21、負責入侵檢測工作的處理模塊位 于目標監(jiān)控主機系統(tǒng)之外的特定控制 臺上，而所監(jiān)控目標主機系統(tǒng)的數目 又并非單臺主機的情況（通常是一組 經過網絡環(huán)境連接起來的主機系統(tǒng)）。 此時需要考慮的設計問題主要包括：在各目標主機系統(tǒng)和中央分析控制 臺之間處理負荷的平衡問題。采用何種傳輸協(xié)議的問題。如何將從多個目標主機處獲得的審 計數據多路復用

13、成為一條單一審計記 錄數據流的問題。如何處理諸如網絡傳輸過程中可能 出現(xiàn)的延時、遺漏等問題。22、鄰域接口包括兩個主要部件：目標系統(tǒng)組件（Agen）和IDES組件 （Arpool）。Agen是留駐在目標系統(tǒng)上的組件，通常Agen以離散的時間 間隔對每一個審計文件進行輪詢，以 確定目標主機是否已經加入了新的審 計數據。Arpool是留駐在鄰域接口的 服務器端，即它的目的是接收從多個 目標機器發(fā)來的IDES格式的審計記 錄，并將它們序列化成一個單獨的記 錄流，然后再對數據做進一步的處理。23、Denning提出4種可以用于入侵 檢測的統(tǒng)計模型。（1）操作模型（2） 均值與標準偏差模型（3）多元模型

14、（4）馬爾可夫過程模型24、基于狀態(tài)轉移分析的檢測模型，將攻擊者的入侵行為描繪為一系列的 特征操作及其所引起的一系列系統(tǒng)狀 態(tài)轉換過程，從而使得目標系統(tǒng)從初 始狀態(tài)轉移到攻擊者所期望的危害狀 態(tài)。它所具有的優(yōu)點如下：直接采用審計記錄序列來表示攻 擊行為的方法不具備直觀性。而STAT 采用高層的狀態(tài)轉移表示方法來表示 攻擊過程，避免這一問題。對于同一種攻擊行為可能對應著 不同的審計記錄序列，這些不同審計 記錄序列可能僅僅因為一些細微的差 別而無法被采用直接匹配技術的檢測 系統(tǒng)察覺，而STAT可以較好地處理 這種情況。STAT能夠檢測到由多個攻擊者所 共同發(fā)起的協(xié)同攻擊，以及跨越多個 進程的攻擊行

15、為。另外，STAT的一大 特色就是具備在某種攻擊行為尚未造 成實質危害時，就及時檢測到并采取 某種響應措施的能力。25、網絡數據包的截獲是基于網絡的 入侵檢測技術的工作基石。檢測引擎 的設計是基于網絡入侵檢測的核心問 題。26、語句-|tr和- |se將 tr 和 se類型的事實從知識庫中刪除。這樣 做有3個原因：可避免規(guī)則因同樣的滿足條件而循 環(huán)點火。將不需要的事實從知識庫 中刪除，有助于提高系統(tǒng)運行速度。節(jié)約內存。27、構建一個輸入接口的必要步驟：為用戶所需要加入到知識庫中的 事實做出對應的ptype類型聲明。 編寫一個C語言函數，來調用正確的 assert_ （ptypename）（）函

16、數。編寫一條規(guī)則，在其前提或者結論語 句中加入對此C語言函數的調用。28、構建狀態(tài)轉移圖的過程大致分為 如下步驟： 分析具體的攻擊行為，理解內在 機理。確定攻擊過程中的關鍵行 為點。確定初始狀態(tài)和最終狀態(tài)。從最終狀態(tài)出發(fā)，逐步確定所需 的各個中間狀態(tài)及其應該滿足的狀態(tài) 斷言組。29、檢查文件系統(tǒng)完整性的必要性包 括如下幾個方面：攻擊者在入侵成功后，經常在文 件系統(tǒng)中安裝后門或者木馬程序，以 方便后繼的攻擊活動。攻擊者還可能安裝非授權的特定 程序，并且替換掉特定的系統(tǒng)程序， 以掩蓋非授權程序的存在。為了防止攻擊活動的痕跡，攻擊 者還可能刪除若干重要系統(tǒng)日志文件 中的審計記錄。入侵者還可能為了達成

17、拒絕服務 攻擊目的或者破壞目的，惡意修改若 干重要服務程序的配置文件或者數據 庫數據，包括系統(tǒng)安全策略的配置信 息等。30、配置分析技術的基本原理：一 次成功的入侵活動可能會在系統(tǒng)中留 下痕跡，可通過檢查系統(tǒng)當前狀態(tài)來 發(fā)現(xiàn)；系統(tǒng)管理員和用戶經常會錯 誤地配置系統(tǒng)，從而給攻擊者以入侵 的可乘之機。31、COPS系統(tǒng)檢查的系統(tǒng)安全范圍包 括：檢查文件、目錄和設備的訪 問權限模式。脆弱的口令設置。 檢查口令文件和組用戶文件的安 全性、格式和內容。檢查在 /etc/rc*目錄和cron中指定運行的 文件和程序。 具有root SUID屬 性的文件，檢查它們是否可寫，以及 是否腳本程序。 對重要的二進

18、制 文件和其他文件計算CRC校驗和，檢 查是否發(fā)生更改。檢查用戶主目 錄下文件是否可寫。是否具有匿 名FTP登錄服務賬戶。是否存在 TFTP服務、Sendmail中別名情況以 及在inetd.conf文件中隱藏的啟動 腳本程序等。各種類型的根權限 檢查。(11)按照CERT安全報告的發(fā)布 日期，檢查關鍵文件是否已經及時進 行了升級或打上了補丁。32、采用鏡像端口常碰到兩個問題：隨著交換帶寬的不斷增長，并非 所有網絡流量都會反映在鏡像端口上。并非所有的交換設備都提供類似 的鏡像端口。很多的IDS系統(tǒng)會選擇 掛接在流量通常最大的上下行端口上， 用來截獲進出內外網的數據流量。33、DIDS中央控制臺

19、組件能夠解決兩 個關鍵的問題：網絡環(huán)境下對特定用戶和系統(tǒng)對象 (例如文件)的跟蹤問題。為此，DIDS提出了網絡用戶標識(NID)的 概念，目的是惟一標識在目標網絡環(huán) 境中多臺主機間不斷移動的用戶。不同層次的入侵數據抽象問題。 DIDS系統(tǒng)提出了一個6層的入侵檢測 模型，并以此模型為基礎和指導，構 造了專家系統(tǒng)的檢測規(guī)則集合。34、混合型入侵檢測技術包括：第一 種是指采用多種信息輸入源的入侵檢 測技術，第二種則強調采用多種不同 類型的入侵檢測方法。35、DIDS系統(tǒng)主要包括3種類型的組 件： 主機監(jiān)控器(host monitor )、 局域網監(jiān)控器(LAN monitor)和中 央控制臺(dir

20、ector)。36、入侵檢測專家系統(tǒng)(Intrusion Detection Expert System ,IDES ); 它模型分為：目標系統(tǒng)域、鄰域接口、 處理引擎和用戶接口。而實際由以下功能組件構成：鄰域接 口、統(tǒng)計異常檢測器、專家系統(tǒng)異常 檢測器和用戶接口。NIDES系統(tǒng)包括3種服務器：SOUI服務器、Analysis服務器和Arpool服務器。37、數據挖掘(Data Mining)是所 謂“數據庫知識發(fā)現(xiàn)(Knowledge Discovery in Database， KDD)技術 中一個關鍵步驟，其提出背景是解決 日益增長的數據量與快速分析數據要 求之間矛盾問題，目標是采用各種

21、特 定的算法在海量數據中發(fā)現(xiàn)有用的可 理解的數據模式。38、 常用的分類算法包括：RIPPER、C4.5、Nearest Neighbor 等。主流的 關聯(lián)分析算法有：Apriori算法、 AprioriTid 算法等。常見的序列分析算法包括：ArpioriAll 算法、DynamicSome 算法 和AprioriSome算法等。39、進化計算的主要算法包括以下5種類型：遺傳算法(Genetic Algorithm， GA)、進化規(guī)劃(Evolutionary Programming，EP )、 進化策略(Evolutionary Strategies， ES)、分類器系統(tǒng)(Classifi

22、er Systems CFS)和遺傳 規(guī)劃 (Genetic Programming，GP )。40、需求定義或者需求分析是進行系 統(tǒng)設計的第一步，同時也是對后繼過 程產生最重要影響的階段。檢測功能需求2.響應需求3.操作 需求4.平臺范圍需求5.數據來源需 求6.檢測性能需求7.可伸縮性需求8. 取證和訴訟需求9.其他需求 系統(tǒng)安全設計原則：1.機制的經濟性 原則2.可靠默認原則3.完全調節(jié)原 則4.開放設計原則5.特權分割原則6. 最小權限原則7.最小通用原則8.心 理接受原則41、按照響應發(fā)生的時間和緊急程度 可分為：緊急行動、及時行動、本地 的長期行動和全局的長期行動。響應 類型：主動

23、響應和被動響應。被動響 應指的是入侵檢測系統(tǒng)僅僅報告和記 錄所檢測到的異?；顒有畔?。42、通常的“電子證據”是指在計算 機或計算機系統(tǒng)運行過程中產生的以 其記錄的內容作為證明案件事實的電 磁記錄物。43、人工神經網絡是模擬人腦加工、 存儲和處理信息機制而提出的一種智 能化信息處理技術，它是由大量簡單 的處理單元(神經元)進行高度互聯(lián) 而成的復雜網絡系統(tǒng)。從本質上講， 人工神經網絡實現(xiàn)的是一種從輸入到 輸出的映射關系，其輸出值由輸入樣 本、神經元間的互聯(lián)權值以及傳遞函 數所決定。通過訓練和學習過程來修 改網絡互聯(lián)權值，神經網絡就可以完 成所需的輸入-輸出映射。44、神經網絡技術應用于入侵檢測領

24、域優(yōu)勢:神經網絡具有概括和抽象能 力，對不完整輸入信息具有一定程度 的容錯處理能力。神經網絡具備 高度的學習和自適應能力。神經 網絡所獨有的內在并行計算和存儲特 性。缺陷和不足：(1)需要解決神經 網絡對大容量入侵行為類型的學習能 力問題。(2)需要解決神經網絡的解 釋能力不足的問題。(3)執(zhí)行速度問 題。要解決這個問題，或許需要設計 專門的神經網絡計算芯片或者計算機。45、KDD技術通常包括以下步驟：理解應用背景。首先要充分了解 數據集合的特性，然后要明確知識發(fā) 現(xiàn)的任務目標。數據準備。包括創(chuàng)建進行知識發(fā) 現(xiàn)的目標數據集合，消除數據集合中 的噪聲數據以及定義對應的變量集合數據挖掘。首先要確定

25、對數據進 行處理后最終需要獲得的模型類型， 例如分類模型、聚類模型或者摘要模 型等，然后應用各種特定的算法生成 對應的分類規(guī)則或者分類樹結構、關 聯(lián)模式和常見序列模式等。結果解析。對產生的數據模式進 行理解分析，還可以用不同的配置信 息來重復以上步驟獲取不同的數據模 式，并進行對比分析，去除冗余和不 重要的模式，并將最后的有用模式提 交給用戶。使用所發(fā)現(xiàn)的知識。包括將新發(fā) 現(xiàn)的知識結合到已有的系統(tǒng)模塊中， 或者直接提交到其他感興趣的相關實 體。46、與現(xiàn)有的計算機安全系統(tǒng)相比較， 生物免疫系統(tǒng)具備如下重要的特征：多層次保護機制。高度分布式 的檢測和記憶系統(tǒng)。多樣化的個 體檢測能力。識別未知異體

26、的能 力。47、入侵檢測系統(tǒng)在設計時所需要考 慮的實際問題:系統(tǒng)設計的最初階段 要注意對用戶的實際需求進行分析， 從而能夠具備明確的設計目標。必 須在系統(tǒng)設計時遵循若干基本的安全 設計原則，保障系統(tǒng)自身的安全性能。 簡要回顧入侵檢測系統(tǒng)的設計生命 周期過程。48、基于主機的入侵檢查系統(tǒng)優(yōu)點包 括：能確定攻擊是否成功。主機是 攻擊的目的所在，所以基于主機的 IDS使用含有已發(fā)生的事件信息，可 以比基于網絡的IDS更加準確地判斷 攻擊是否成功。就這一方面而言，基 于主機的IDS與基于網絡的IDS互相 補充，網絡部分盡早提供針對攻擊的 警告，而主機部分則可確定攻擊是否 成功。（2）監(jiān)控粒度更細?；?/p>

27、主機的IDS， 監(jiān)控的目標明確，視野集中，它可以 檢測一些基于網絡的IDS不能檢測的 攻擊。它可以很容易地監(jiān)控系統(tǒng)的一 些活動，如對敏感文件、目錄、程序 或端口的存取。例如，基于主機的 IDS可以監(jiān)督所有用戶登錄及退出登 錄的情況，以及每位用戶在聯(lián)接.到 網絡以后的行為。它還可監(jiān)視通常只 有管理員才能實施的非正常行為。針 對系統(tǒng)的一些活動，有時并不通過網 絡傳輸數據，有時雖然通過網絡傳輸 數據但所傳輸的數據并不能提供足夠 多的信息，從而使得基于網絡的系統(tǒng) 檢測不到這些行為，或者檢測到這個 程度非常困難。（3）配置靈活。每一個主機有其自 己的基于主機的IDS，用戶可根據自 己的實際情況對其進行配

28、置。（4）可用于加密的以及交換的環(huán)境。 加密和交換設備加大了基于網絡IDS 收集信息的難度，但由于基于主機的 IDS安裝在要監(jiān)控的主機上，根本不 會受這些因素的影響。（5）對網絡流量不敏感。基于主機 的IDS 一般不會因為網絡流量的增加 而丟掉對網絡行為的監(jiān)視。（6）不需要額外的硬件。49、基于網絡的入侵檢測系統(tǒng)的優(yōu)點 與缺點：基于網絡的入侵檢測系統(tǒng)有以下優(yōu)點：1）監(jiān)測速度快?；诰W絡的監(jiān)測器 通常能在微秒或秒級發(fā)現(xiàn)問題。而大 多數基于主機的產品則要依靠對最近 幾分鐘內審計記錄的分析。2）隱蔽性好。一個網絡上的監(jiān)測器 不像一個主機那樣顯眼和易被存取， 因而也不那么容易遭受攻擊?；诰W 絡的監(jiān)視

29、器不運行其他的應用程序， 不提供網絡服務，可以不響應其他計 算機，因此可以做得比較安全。3）視野更寬。可以檢測一些主機檢 測不到的攻擊，如淚滴攻擊（Teardrop），基于網絡的SYN攻擊 等。還可以檢測不成功的攻擊和惡意 企圖。4）較少的監(jiān)測器。由于使用一個監(jiān) 測器就可以保護一個共享的網段，所 以你不需要很多的監(jiān)測器。相反地， 如果基于主機，則在每個主機上都需 要一個代理，這樣的話，花費昂貴， 而且難于管理。但是，如果在一個交 換環(huán)境下，就需要特殊的配置。5）攻擊者不易轉移證據?；诰W絡 的IDS使用正在發(fā)生的網絡通訊進行 實時攻擊的檢測。所以攻擊者無法轉 移證據。被捕獲的數據不僅包括攻擊

30、的方法，而且還包括可識別黑客身份 和對其進行起訴的信息。許多黑客都 熟知審計記錄，他們知道如何操縱這 些文件掩蓋他們的作案痕跡，如何阻 止需要這些信息的基于主機的系統(tǒng)去 檢測入侵。6）操作系統(tǒng)無關性?；诰W絡的IDS 作為安全監(jiān)測資源，與主機的操作系 統(tǒng)無關。與之相比，基于主機的系統(tǒng) 必須在特定的、沒有遭到破壞的操作 系統(tǒng)中才能正常工作，生成有用的結 果。7）可以配置在專門的機器上，不會 占用被保護的設備上的任何資源。主要缺點是：只能監(jiān)視本網段的活動， 精確度不高；在交換環(huán)境下難以配置; 防入侵欺騙的能力較差；難以定位入 侵者。50、根據檢測原理，將入侵檢測分為 兩類：異常檢測和誤用檢測。異常檢測在