1主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理1主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型2主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理2主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型3入侵及入侵檢測(cè)系統(tǒng)的定義入侵

—繞過(guò)系統(tǒng)安全機(jī)制的非授權(quán)行為。

—危害計(jì)算機(jī)、網(wǎng)絡(luò)的機(jī)密性、完整性和可用性或者繞過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)的安全機(jī)制的嘗試。入侵通常是由從互聯(lián)網(wǎng)訪問(wèn)系統(tǒng)的攻擊者、或者試圖獲得額外或者更高的非法權(quán)限的授權(quán)用戶等引起的。入侵檢測(cè)

—是一種對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)事件進(jìn)行監(jiān)測(cè)并分析這些入侵事件特征的過(guò)程。入侵檢測(cè)系統(tǒng)

—自動(dòng)進(jìn)行這種監(jiān)測(cè)和分析過(guò)程的軟件或硬件產(chǎn)品。3入侵及入侵檢測(cè)系統(tǒng)的定義入侵4入侵檢測(cè)（IntrusionDetection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem,簡(jiǎn)稱(chēng)IDS）是進(jìn)行入侵檢測(cè)的軟件與硬件的組合與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行入侵檢測(cè)技術(shù)簡(jiǎn)介4入侵檢測(cè)（IntrusionDetection），顧名思5監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)核查系統(tǒng)配置和漏洞評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識(shí)別已知的攻擊行為統(tǒng)計(jì)分析異常行為操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)實(shí)時(shí)通知入侵檢測(cè)系統(tǒng)的主要功能5監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)入侵檢測(cè)系統(tǒng)的主要功能6IDS產(chǎn)品常見(jiàn)結(jié)構(gòu)控制臺(tái)CONSOLE傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR6IDS產(chǎn)品常見(jiàn)結(jié)構(gòu)控制臺(tái)傳感器傳感器傳感器傳感器傳感器7IDWG—IntrusionDetectionWorkingGroupIDWG:入侵檢測(cè)工作組

/html.charters/idwg-charter.html目的：定義數(shù)據(jù)格式定義交換流程輸出需求文件公共入侵檢測(cè)語(yǔ)言規(guī)范框架文件目前成果尚未形成正式標(biāo)準(zhǔn)，形成4個(gè)草案7IDWG—IntrusionDetectionWork8IDWG通用IDS模型

入侵檢測(cè)系統(tǒng)（IDS）–一個(gè)或多個(gè)下列組建的組合：傳感器、分析器和管理器。安全策略–預(yù)定義的、正式的成文的說(shuō)明，它定義了組織機(jī)構(gòu)內(nèi)網(wǎng)絡(luò)或特定主機(jī)上允許發(fā)生的目的為支持組織機(jī)構(gòu)要求的活動(dòng)。它包括但不限于下列活動(dòng)：哪一臺(tái)主機(jī)拒絕外部網(wǎng)絡(luò)訪問(wèn)等。IETFIDWG（IntrusionDetectionWorkingGroup）《Draft：IntrusionDetectionMessageExchangeRequirements》

8IDWG通用IDS模型入侵檢測(cè)系統(tǒng)（IDS）IETF9CIDF—CommonIntrusionDetectionFramework歷史DARPA（DefenseAdvancedResearchProjectsAgency）的TeresaLunt女士提出StuartStaniford-Chen對(duì)CIDF概念進(jìn)行拓寬通用入侵檢測(cè)框架－CommonIntrusionDetectionFramework體系結(jié)構(gòu)的IDS模塊用于審計(jì)數(shù)據(jù)和數(shù)據(jù)傳送的規(guī)范CIDF信息/cidf/spec/cidf.txt/gost/cidf/9CIDF—CommonIntrusionDetecti10

標(biāo)準(zhǔn)APIE事件生成器A事件分析器D事件數(shù)據(jù)庫(kù)C系統(tǒng)特定的控制器CIDF通用入侵檢測(cè)框架

標(biāo)準(zhǔn)接口

-數(shù)據(jù)搜集、分析和響應(yīng)組件的互連框架

-可擴(kuò)展的體系

-核心技術(shù)的重用

-方便技術(shù)轉(zhuǎn)讓

-減少成本

IDS框架、分層通信、CISL語(yǔ)言、API10標(biāo)準(zhǔn)APICIDF通用入侵檢測(cè)框架11CVE—CommonVulnerabilitiesandExposuresCVE：CommonVulnerabilitiesandExposures是脆弱性和其他信息安全暴露的標(biāo)準(zhǔn)化名稱(chēng)的列表－CVE的目標(biāo)是標(biāo)準(zhǔn)化命名所有公共已知的脆弱性和安全暴露網(wǎng)址：/CVE是：ADictionary,NOTaDatabaseACommunity-WideEffort

FreelyAvailableforRevieworDownload以上內(nèi)容：/about/11CVE—CommonVulnerabilitiesa12入侵檢測(cè)系統(tǒng)概述——功能入侵檢測(cè)是網(wǎng)絡(luò)防火墻的邏輯補(bǔ)充，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提供了安全審計(jì)、監(jiān)控、攻擊識(shí)別和響應(yīng)入侵檢測(cè)系統(tǒng)主要執(zhí)行功能：監(jiān)控和分析用戶和系統(tǒng)活動(dòng)審計(jì)系統(tǒng)配置和脆弱性評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識(shí)別活動(dòng)模式以反應(yīng)已知攻擊統(tǒng)計(jì)分析異?；顒?dòng)模式操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反策略的用戶活動(dòng)12入侵檢測(cè)系統(tǒng)概述——功能入侵檢測(cè)是網(wǎng)絡(luò)防火墻的邏輯補(bǔ)充，13主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理13主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型14入侵檢測(cè)系統(tǒng)的歷史1980年JamesP.Anderson可以使用審計(jì)記錄以標(biāo)識(shí)誤用威脅分類(lèi)的分類(lèi)學(xué)建議在審計(jì)子系統(tǒng)的基礎(chǔ)上進(jìn)行改進(jìn)以檢測(cè)誤用14入侵檢測(cè)系統(tǒng)的歷史1980年15入侵檢測(cè)系統(tǒng)的歷史1985年SRI由美國(guó)海軍（SPAWAR）資助以建立IntrusionDetectionExpertSystem(IDES)－入侵檢測(cè)專(zhuān)家系統(tǒng)（IDES）

的初步原型。第一個(gè)系統(tǒng)中同時(shí)使用了statisticalandrule-based－基于統(tǒng)計(jì)和基于規(guī)則的方法。

15入侵檢測(cè)系統(tǒng)的歷史1985年16入侵檢測(cè)系統(tǒng)的歷史1986年DorothyDenning發(fā)表了“AnIntrusion-DetectionModel-一個(gè)入侵檢測(cè)的模型”

，入侵檢測(cè)領(lǐng)域開(kāi)創(chuàng)性的工作?；镜男袨榉治鰴C(jī)制。一些可能的實(shí)現(xiàn)系統(tǒng)的方法。16入侵檢測(cè)系統(tǒng)的歷史1986年17入侵檢測(cè)系統(tǒng)的歷史1989年ToddHeberlien，California,Davis大學(xué)的一個(gè)學(xué)生寫(xiě)了NetworkSecurityMonitor(NSM)－網(wǎng)絡(luò)安全監(jiān)視器（NSM），系統(tǒng)設(shè)計(jì)用于捕獲TCP/IP包并檢測(cè)異構(gòu)網(wǎng)絡(luò)中的異常行動(dòng)。網(wǎng)絡(luò)入侵檢測(cè)誕生17入侵檢測(cè)系統(tǒng)的歷史1989年18入侵檢測(cè)系統(tǒng)的歷史1992年計(jì)算機(jī)誤用檢測(cè)系統(tǒng)（CMDS）ComputerMisuseDetectionSystem(CMDS)

ScreenApplicationInternationalCorporation(SAIC)

基于在海軍報(bào)告調(diào)查中完成的工作

Stalker（

HaystackLabs.）基于為空軍完成的原Haystack工作，第一個(gè)商業(yè)化的主機(jī)IDS，用于UNIX18入侵檢測(cè)系統(tǒng)的歷史1992年19入侵檢測(cè)系統(tǒng)的歷史1994年Agroupofresearchersatthe空軍加密支持中心（AirForceCryptologicalSupportCenter）的一組研究人員創(chuàng)建了魯棒的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，ASIM，廣泛用于空軍。

來(lái)自于一家商業(yè)化公司

Wheelgroup的開(kāi)發(fā)人員開(kāi)始商業(yè)化網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。19入侵檢測(cè)系統(tǒng)的歷史1994年20入侵檢測(cè)系統(tǒng)的歷史1997年Cisco收購(gòu)了

Wheelgroup并開(kāi)始將網(wǎng)絡(luò)入侵檢測(cè)加入路由器中。

InternetSecuritySystems發(fā)布了

Realsecure，WindowsNT的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。開(kāi)始了網(wǎng)絡(luò)入侵檢測(cè)的革命。20入侵檢測(cè)系統(tǒng)的歷史1997年21入侵檢測(cè)系統(tǒng)的歷史1998年Centrax公司發(fā)布了

eNTrax，用于WindowsNT的分布主機(jī)入侵檢測(cè)系統(tǒng)

Centrax是由CMDS的開(kāi)發(fā)人員組成，后來(lái)加入了建立Stalker的技術(shù)隊(duì)伍。21入侵檢測(cè)系統(tǒng)的歷史1998年22主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理22主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型23入侵檢測(cè)產(chǎn)品分類(lèi)按技術(shù)特征檢測(cè)異常檢測(cè)按監(jiān)測(cè)對(duì)象網(wǎng)絡(luò)入侵檢測(cè)(NIDS)主機(jī)入侵檢測(cè)(HIDS)23入侵檢測(cè)產(chǎn)品分類(lèi)按技術(shù)24特征檢測(cè)

Signature-baseddetection原理：假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。特征檢測(cè)可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。難點(diǎn)：如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。常用方法：

模式匹配。24特征檢測(cè)

Signature-baseddetecti25異常檢測(cè)

Anomalydetection原理假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)念建立主體正常活動(dòng)的“活動(dòng)簡(jiǎn)檔”將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比當(dāng)違反統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為難點(diǎn)異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法概率統(tǒng)計(jì)。25異常檢測(cè)

Anomalydetection原理26NIDS大多數(shù)入侵檢測(cè)廠商采用的產(chǎn)品形式。通過(guò)捕獲和分析網(wǎng)絡(luò)包來(lái)探測(cè)攻擊。網(wǎng)絡(luò)入侵檢測(cè)可以在網(wǎng)段或者交換機(jī)上進(jìn)行監(jiān)聽(tīng)，來(lái)檢測(cè)對(duì)連接在網(wǎng)段上的多個(gè)主機(jī)有影響的網(wǎng)絡(luò)通訊，從而保護(hù)那些主機(jī)。26NIDS大多數(shù)入侵檢測(cè)廠商采用的產(chǎn)品形式。27網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)網(wǎng)絡(luò)通信檢測(cè)能力NIDS能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊它能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)對(duì)正常業(yè)務(wù)影響少NIDS不需要改變服務(wù)器等主機(jī)的配置由于它不會(huì)在業(yè)務(wù)系統(tǒng)中的主機(jī)中安裝額外的軟件從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤(pán)等資源的使用不會(huì)影響業(yè)務(wù)系統(tǒng)的性能27網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)網(wǎng)絡(luò)通信檢測(cè)能力28網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)布署風(fēng)險(xiǎn)小NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑NIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行布署NIDS的風(fēng)險(xiǎn)比HIDS的風(fēng)險(xiǎn)來(lái)得少得多定制設(shè)備，安裝簡(jiǎn)單NIDS近年內(nèi)有向?qū)ｉT(mén)的設(shè)備發(fā)展的趨勢(shì)安裝NIDS系統(tǒng)非常方便只需將定制的備接上電源，做很少一些配置，將其接上網(wǎng)絡(luò)即可28網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)布署風(fēng)險(xiǎn)小29網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)共享網(wǎng)段的局限NIDS只檢查它直接連接網(wǎng)段的通信NIDS不能監(jiān)測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包交換以太網(wǎng)環(huán)境中就會(huì)出現(xiàn)它的監(jiān)測(cè)范圍的局限多傳感器系統(tǒng)會(huì)使布署成本增加性能局限NIDS為了性能目標(biāo)通常采用特征檢測(cè)的方法它可以高效地檢測(cè)出普通的一些攻擊實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)時(shí)，對(duì)硬件處理能力要求較高29網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)共享網(wǎng)段的局限30網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)中央分析與大數(shù)據(jù)流量的矛盾NIDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量采用以下方法可減少回傳的數(shù)據(jù)量：對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱30網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)中央分析與大數(shù)據(jù)流量的矛盾31網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)加密通信NIDS處理加密的會(huì)話過(guò)程時(shí)，會(huì)參與解密操作目前通過(guò)加密通道的攻擊尚不多隨著IPv6的普及，這個(gè)問(wèn)題會(huì)越來(lái)越突出31網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)加密通信32HIDS基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上。主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。32HIDS基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）通常是安裝在被33主機(jī)入侵檢測(cè)優(yōu)點(diǎn)入侵行為分析能力HIDS對(duì)分析“可能的攻擊行為”非常有用除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外還能分辨出入侵者干了什么事：運(yùn)行了什么程序、打開(kāi)了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用HIDS比NIDS能夠提供更詳盡的相關(guān)信息誤報(bào)率低HIDS通常情況下比NIDS誤報(bào)率要低33主機(jī)入侵檢測(cè)優(yōu)點(diǎn)入侵行為分析能力34主機(jī)入侵檢測(cè)優(yōu)點(diǎn)復(fù)雜性小因?yàn)楸O(jiān)測(cè)在主機(jī)上運(yùn)行的命令序列比監(jiān)測(cè)網(wǎng)絡(luò)流來(lái)得簡(jiǎn)單網(wǎng)絡(luò)通信要求低可布署在那些不需要廣泛的入侵檢測(cè)傳感器與控制臺(tái)之間的通信帶寬不足的情況下布署風(fēng)險(xiǎn)HIDS在不使用諸如“停止服務(wù)”、“注銷(xiāo)用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少34主機(jī)入侵檢測(cè)優(yōu)點(diǎn)復(fù)雜性小35主機(jī)入侵檢測(cè)弱點(diǎn)影響保護(hù)目標(biāo)HIDS安裝在需要保護(hù)的設(shè)備上可能會(huì)降低應(yīng)用系統(tǒng)的效率帶來(lái)一些額外的安全問(wèn)題如：安裝了HIDS后，將本不允許安全管理員有權(quán)力訪問(wèn)的服務(wù)器變成他可以訪問(wèn)的了服務(wù)器依賴(lài)性依賴(lài)于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒(méi)有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來(lái)不可預(yù)見(jiàn)的性能影響35主機(jī)入侵檢測(cè)弱點(diǎn)影響保護(hù)目標(biāo)36主機(jī)入侵檢測(cè)弱點(diǎn)全面布署代價(jià)與主機(jī)盲點(diǎn)全面布署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大若選擇部分主機(jī)保護(hù)那些未裝HIDS的機(jī)器將成為保護(hù)的盲點(diǎn)入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)工作量隨主機(jī)數(shù)目線性增加HIDS主機(jī)入侵檢測(cè)系統(tǒng)除了監(jiān)測(cè)自身的主機(jī)以外根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加36主機(jī)入侵檢測(cè)弱點(diǎn)全面布署代價(jià)與主機(jī)盲點(diǎn)37實(shí)時(shí)分析的方法實(shí)時(shí)系統(tǒng)可以不間斷地提供信息收集、分析和匯報(bào)，實(shí)時(shí)系統(tǒng)提供了多種實(shí)時(shí)報(bào)警，并對(duì)攻擊自動(dòng)做出反應(yīng)事后分析的方法在事后分析的方法中，入侵檢測(cè)系統(tǒng)將事件信息的記錄到文件中，并且由入侵檢測(cè)系統(tǒng)在事后對(duì)這些文件進(jìn)行分析，找出入侵或誤用的特征IDS信息的收集和分析的時(shí)間37實(shí)時(shí)分析的方法IDS信息的收集和分析的時(shí)間38改變被攻擊系統(tǒng)的環(huán)境斷開(kāi)進(jìn)攻者使用的連接重新配置網(wǎng)絡(luò)設(shè)施這種響應(yīng)機(jī)制可讓系統(tǒng)管理員在職權(quán)范圍內(nèi)采取主動(dòng)措施，使被檢測(cè)到的攻擊造成的損失最小化實(shí)時(shí)通知

即時(shí)發(fā)送的與事件有關(guān)的信息，通知重要人員電子郵件、尋呼機(jī)、手機(jī)短消息、傳真等對(duì)誤用或入侵的響應(yīng)38改變被攻擊系統(tǒng)的環(huán)境對(duì)誤用或入侵的響應(yīng)39入侵檢測(cè)技術(shù)發(fā)展方向高速網(wǎng)絡(luò)的數(shù)據(jù)分析能力分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)智能的入侵檢測(cè)入侵檢測(cè)的評(píng)測(cè)方法與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合39入侵檢測(cè)技術(shù)發(fā)展方向高速網(wǎng)絡(luò)的數(shù)據(jù)分析能力40使用網(wǎng)絡(luò)協(xié)處理器提高處理能力40使用網(wǎng)絡(luò)協(xié)處理器提高處理能力41收到報(bào)警攻擊檢測(cè)主動(dòng)響應(yīng)產(chǎn)生臨時(shí)阻擋策略內(nèi)部違規(guī)用戶攻擊報(bào)警、記錄阻斷入侵行為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)工作流程N(yùn)IDS控制臺(tái)41收到報(bào)警攻擊檢測(cè)主動(dòng)響應(yīng)產(chǎn)生臨時(shí)阻擋策略內(nèi)部違規(guī)用戶攻擊42NIDS傳感器的部署位置Internet

路由器防火墻核心交換機(jī)Web服務(wù)器電子郵件服務(wù)器FTP服務(wù)器DMZ公共服務(wù)網(wǎng)管服務(wù)內(nèi)部服務(wù)辦公區(qū)辦公自動(dòng)化數(shù)據(jù)庫(kù)辦公用戶辦公用戶辦公用戶IDS管理中心部署位置1優(yōu)點(diǎn)：－記錄源自于互聯(lián)網(wǎng)目標(biāo)為本地網(wǎng)絡(luò)的攻擊次數(shù)－記錄源自于互聯(lián)網(wǎng)目標(biāo)為本地網(wǎng)絡(luò)的攻擊類(lèi)型部署位置2優(yōu)點(diǎn)：－查看源自于外部穿透網(wǎng)絡(luò)邊界防護(hù)的攻擊－重點(diǎn)關(guān)注網(wǎng)絡(luò)防火墻策略和性能的問(wèn)題－查看目標(biāo)針對(duì)于DMZ區(qū)中Web/郵件等服務(wù)器的攻擊－即使不能識(shí)別入攻擊，有時(shí)識(shí)別被攻擊后返回的流量部署位置4優(yōu)點(diǎn)：－檢測(cè)對(duì)關(guān)鍵系統(tǒng)和資源的攻擊－將有限資源集中在被認(rèn)為具有最大價(jià)值的網(wǎng)絡(luò)資產(chǎn)上部署位置3優(yōu)點(diǎn)：－監(jiān)控大量的網(wǎng)絡(luò)流量，增加定位攻擊的可能性－檢測(cè)組織機(jī)構(gòu)安全邊界內(nèi)部的授權(quán)人員的非授權(quán)活動(dòng)42NIDS傳感器的部署位置Internet路由器防火墻43NIDS傳感器的部署方法NIDS傳感器的監(jiān)聽(tīng)端口共享環(huán)境：Hub交換環(huán)境Span/MirrorPort分接器（Tap）43NIDS傳感器的部署方法NIDS傳感器的監(jiān)聽(tīng)端口44NIDS傳感器的部署方法-共享介質(zhì)IDS傳感器控制臺(tái)Internet

路由器防火墻核心交換機(jī)Web服務(wù)器電子郵件服務(wù)器FTP服務(wù)器DMZ公共服務(wù)公司內(nèi)網(wǎng)Hub44NIDS傳感器的部署方法-共享介質(zhì)IDS傳感器控制臺(tái)I45NIDS傳感器的部署方法

-SPAN/端口鏡像Internet

路由器防火墻核心交換機(jī)網(wǎng)管服務(wù)內(nèi)部服務(wù)辦公自動(dòng)化數(shù)據(jù)庫(kù)IDS傳感器控制臺(tái)SPAN或鏡像端口45NIDS傳感器的部署方法

-SPAN/端口鏡像Inter46NIDS傳感器的部署方法-tap分接器IDS傳感器控制臺(tái)Internet

路由器防火墻核心交換機(jī)Web服務(wù)器電子郵件服務(wù)器FTP服務(wù)器DMZ公共服務(wù)公司內(nèi)網(wǎng)Tap分接器46NIDS傳感器的部署方法-tap分接器IDS傳感器控制47IDS能夠識(shí)別的攻擊和事件

類(lèi)型說(shuō)明拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊通過(guò)消耗系統(tǒng)資源使目標(biāo)主機(jī)的部分或全部服務(wù)功能喪失。例如，SYNFLOOD攻擊，PINGFLOOD攻擊，WINNUK攻擊等。非授權(quán)訪問(wèn)攻擊攻擊者企圖讀取、寫(xiě)或執(zhí)行被保護(hù)的資源。如FTPROOT攻擊，EMAILWIZ攻擊等。預(yù)攻擊嗅探攻擊者試圖從網(wǎng)絡(luò)中獲取用戶名、口令等敏感信息。如SATAN掃描、端口掃描、IPHALF掃描等?？梢尚袨榉恰罢！钡木W(wǎng)絡(luò)訪問(wèn)，很可能是需要注意的不安全事件。如IP地址復(fù)用，無(wú)法識(shí)別IP協(xié)議的事件。協(xié)議分析對(duì)協(xié)議進(jìn)行解析，幫助管理員發(fā)現(xiàn)可能的危險(xiǎn)事件。如FTP口令解析，EMAIL主題解析等。普通網(wǎng)絡(luò)事件識(shí)別各種網(wǎng)絡(luò)協(xié)議包的源、目的IP地址，源、目的端口號(hào)，協(xié)議類(lèi)型等。47IDS能夠識(shí)別的攻擊和事件類(lèi)型說(shuō)48入侵檢測(cè)系統(tǒng)的選擇產(chǎn)品是否支持分布式部署是否具有高速網(wǎng)絡(luò)數(shù)據(jù)采集分析能力是否能夠識(shí)別并分析常見(jiàn)的數(shù)據(jù)通訊協(xié)議是否具備完備的檢測(cè)規(guī)則庫(kù)系統(tǒng)的檢測(cè)規(guī)則更新速度IDS系統(tǒng)和其他安全產(chǎn)品的結(jié)合48入侵檢測(cè)系統(tǒng)的選擇產(chǎn)品是否支持分布式部署49內(nèi)容回顧入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理49內(nèi)容回顧入侵檢測(cè)系統(tǒng)定義和模型50主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理1主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型51主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理2主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型52入侵及入侵檢測(cè)系統(tǒng)的定義入侵

—繞過(guò)系統(tǒng)安全機(jī)制的非授權(quán)行為。

—危害計(jì)算機(jī)、網(wǎng)絡(luò)的機(jī)密性、完整性和可用性或者繞過(guò)計(jì)算機(jī)、網(wǎng)絡(luò)的安全機(jī)制的嘗試。入侵通常是由從互聯(lián)網(wǎng)訪問(wèn)系統(tǒng)的攻擊者、或者試圖獲得額外或者更高的非法權(quán)限的授權(quán)用戶等引起的。入侵檢測(cè)

—是一種對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)事件進(jìn)行監(jiān)測(cè)并分析這些入侵事件特征的過(guò)程。入侵檢測(cè)系統(tǒng)

—自動(dòng)進(jìn)行這種監(jiān)測(cè)和分析過(guò)程的軟件或硬件產(chǎn)品。3入侵及入侵檢測(cè)系統(tǒng)的定義入侵53入侵檢測(cè)（IntrusionDetection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem,簡(jiǎn)稱(chēng)IDS）是進(jìn)行入侵檢測(cè)的軟件與硬件的組合與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行入侵檢測(cè)技術(shù)簡(jiǎn)介4入侵檢測(cè)（IntrusionDetection），顧名思54監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)核查系統(tǒng)配置和漏洞評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識(shí)別已知的攻擊行為統(tǒng)計(jì)分析異常行為操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)實(shí)時(shí)通知入侵檢測(cè)系統(tǒng)的主要功能5監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)入侵檢測(cè)系統(tǒng)的主要功能55IDS產(chǎn)品常見(jiàn)結(jié)構(gòu)控制臺(tái)CONSOLE傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR傳感器SENSOR6IDS產(chǎn)品常見(jiàn)結(jié)構(gòu)控制臺(tái)傳感器傳感器傳感器傳感器傳感器56IDWG—IntrusionDetectionWorkingGroupIDWG:入侵檢測(cè)工作組

/html.charters/idwg-charter.html目的：定義數(shù)據(jù)格式定義交換流程輸出需求文件公共入侵檢測(cè)語(yǔ)言規(guī)范框架文件目前成果尚未形成正式標(biāo)準(zhǔn)，形成4個(gè)草案7IDWG—IntrusionDetectionWork57IDWG通用IDS模型

入侵檢測(cè)系統(tǒng)（IDS）–一個(gè)或多個(gè)下列組建的組合：傳感器、分析器和管理器。安全策略–預(yù)定義的、正式的成文的說(shuō)明，它定義了組織機(jī)構(gòu)內(nèi)網(wǎng)絡(luò)或特定主機(jī)上允許發(fā)生的目的為支持組織機(jī)構(gòu)要求的活動(dòng)。它包括但不限于下列活動(dòng)：哪一臺(tái)主機(jī)拒絕外部網(wǎng)絡(luò)訪問(wèn)等。IETFIDWG（IntrusionDetectionWorkingGroup）《Draft：IntrusionDetectionMessageExchangeRequirements》

8IDWG通用IDS模型入侵檢測(cè)系統(tǒng)（IDS）IETF58CIDF—CommonIntrusionDetectionFramework歷史DARPA（DefenseAdvancedResearchProjectsAgency）的TeresaLunt女士提出StuartStaniford-Chen對(duì)CIDF概念進(jìn)行拓寬通用入侵檢測(cè)框架－CommonIntrusionDetectionFramework體系結(jié)構(gòu)的IDS模塊用于審計(jì)數(shù)據(jù)和數(shù)據(jù)傳送的規(guī)范CIDF信息/cidf/spec/cidf.txt/gost/cidf/9CIDF—CommonIntrusionDetecti59

標(biāo)準(zhǔn)APIE事件生成器A事件分析器D事件數(shù)據(jù)庫(kù)C系統(tǒng)特定的控制器CIDF通用入侵檢測(cè)框架

標(biāo)準(zhǔn)接口

-數(shù)據(jù)搜集、分析和響應(yīng)組件的互連框架

-可擴(kuò)展的體系

-核心技術(shù)的重用

-方便技術(shù)轉(zhuǎn)讓

-減少成本

IDS框架、分層通信、CISL語(yǔ)言、API10標(biāo)準(zhǔn)APICIDF通用入侵檢測(cè)框架60CVE—CommonVulnerabilitiesandExposuresCVE：CommonVulnerabilitiesandExposures是脆弱性和其他信息安全暴露的標(biāo)準(zhǔn)化名稱(chēng)的列表－CVE的目標(biāo)是標(biāo)準(zhǔn)化命名所有公共已知的脆弱性和安全暴露網(wǎng)址：/CVE是：ADictionary,NOTaDatabaseACommunity-WideEffort

FreelyAvailableforRevieworDownload以上內(nèi)容：/about/11CVE—CommonVulnerabilitiesa61入侵檢測(cè)系統(tǒng)概述——功能入侵檢測(cè)是網(wǎng)絡(luò)防火墻的邏輯補(bǔ)充，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提供了安全審計(jì)、監(jiān)控、攻擊識(shí)別和響應(yīng)入侵檢測(cè)系統(tǒng)主要執(zhí)行功能：監(jiān)控和分析用戶和系統(tǒng)活動(dòng)審計(jì)系統(tǒng)配置和脆弱性評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識(shí)別活動(dòng)模式以反應(yīng)已知攻擊統(tǒng)計(jì)分析異常活動(dòng)模式操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反策略的用戶活動(dòng)12入侵檢測(cè)系統(tǒng)概述——功能入侵檢測(cè)是網(wǎng)絡(luò)防火墻的邏輯補(bǔ)充，62主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理13主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型63入侵檢測(cè)系統(tǒng)的歷史1980年JamesP.Anderson可以使用審計(jì)記錄以標(biāo)識(shí)誤用威脅分類(lèi)的分類(lèi)學(xué)建議在審計(jì)子系統(tǒng)的基礎(chǔ)上進(jìn)行改進(jìn)以檢測(cè)誤用14入侵檢測(cè)系統(tǒng)的歷史1980年64入侵檢測(cè)系統(tǒng)的歷史1985年SRI由美國(guó)海軍（SPAWAR）資助以建立IntrusionDetectionExpertSystem(IDES)－入侵檢測(cè)專(zhuān)家系統(tǒng)（IDES）

的初步原型。第一個(gè)系統(tǒng)中同時(shí)使用了statisticalandrule-based－基于統(tǒng)計(jì)和基于規(guī)則的方法。

15入侵檢測(cè)系統(tǒng)的歷史1985年65入侵檢測(cè)系統(tǒng)的歷史1986年DorothyDenning發(fā)表了“AnIntrusion-DetectionModel-一個(gè)入侵檢測(cè)的模型”

，入侵檢測(cè)領(lǐng)域開(kāi)創(chuàng)性的工作?；镜男袨榉治鰴C(jī)制。一些可能的實(shí)現(xiàn)系統(tǒng)的方法。16入侵檢測(cè)系統(tǒng)的歷史1986年66入侵檢測(cè)系統(tǒng)的歷史1989年ToddHeberlien，California,Davis大學(xué)的一個(gè)學(xué)生寫(xiě)了NetworkSecurityMonitor(NSM)－網(wǎng)絡(luò)安全監(jiān)視器（NSM），系統(tǒng)設(shè)計(jì)用于捕獲TCP/IP包并檢測(cè)異構(gòu)網(wǎng)絡(luò)中的異常行動(dòng)。網(wǎng)絡(luò)入侵檢測(cè)誕生17入侵檢測(cè)系統(tǒng)的歷史1989年67入侵檢測(cè)系統(tǒng)的歷史1992年計(jì)算機(jī)誤用檢測(cè)系統(tǒng)（CMDS）ComputerMisuseDetectionSystem(CMDS)

ScreenApplicationInternationalCorporation(SAIC)

基于在海軍報(bào)告調(diào)查中完成的工作

Stalker（

HaystackLabs.）基于為空軍完成的原Haystack工作，第一個(gè)商業(yè)化的主機(jī)IDS，用于UNIX18入侵檢測(cè)系統(tǒng)的歷史1992年68入侵檢測(cè)系統(tǒng)的歷史1994年Agroupofresearchersatthe空軍加密支持中心（AirForceCryptologicalSupportCenter）的一組研究人員創(chuàng)建了魯棒的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，ASIM，廣泛用于空軍。

來(lái)自于一家商業(yè)化公司

Wheelgroup的開(kāi)發(fā)人員開(kāi)始商業(yè)化網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。19入侵檢測(cè)系統(tǒng)的歷史1994年69入侵檢測(cè)系統(tǒng)的歷史1997年Cisco收購(gòu)了

Wheelgroup并開(kāi)始將網(wǎng)絡(luò)入侵檢測(cè)加入路由器中。

InternetSecuritySystems發(fā)布了

Realsecure，WindowsNT的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。開(kāi)始了網(wǎng)絡(luò)入侵檢測(cè)的革命。20入侵檢測(cè)系統(tǒng)的歷史1997年70入侵檢測(cè)系統(tǒng)的歷史1998年Centrax公司發(fā)布了

eNTrax，用于WindowsNT的分布主機(jī)入侵檢測(cè)系統(tǒng)

Centrax是由CMDS的開(kāi)發(fā)人員組成，后來(lái)加入了建立Stalker的技術(shù)隊(duì)伍。21入侵檢測(cè)系統(tǒng)的歷史1998年71主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型入侵檢測(cè)系統(tǒng)的發(fā)展歷史入侵檢測(cè)系統(tǒng)的原理22主要內(nèi)容入侵檢測(cè)系統(tǒng)定義和模型72入侵檢測(cè)產(chǎn)品分類(lèi)按技術(shù)特征檢測(cè)異常檢測(cè)按監(jiān)測(cè)對(duì)象網(wǎng)絡(luò)入侵檢測(cè)(NIDS)主機(jī)入侵檢測(cè)(HIDS)23入侵檢測(cè)產(chǎn)品分類(lèi)按技術(shù)73特征檢測(cè)

Signature-baseddetection原理：假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。特征檢測(cè)可以將已有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。難點(diǎn)：如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。常用方法：

模式匹配。24特征檢測(cè)

Signature-baseddetecti74異常檢測(cè)

Anomalydetection原理假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比當(dāng)違反統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為難點(diǎn)異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。常用方法概率統(tǒng)計(jì)。25異常檢測(cè)

Anomalydetection原理75NIDS大多數(shù)入侵檢測(cè)廠商采用的產(chǎn)品形式。通過(guò)捕獲和分析網(wǎng)絡(luò)包來(lái)探測(cè)攻擊。網(wǎng)絡(luò)入侵檢測(cè)可以在網(wǎng)段或者交換機(jī)上進(jìn)行監(jiān)聽(tīng)，來(lái)檢測(cè)對(duì)連接在網(wǎng)段上的多個(gè)主機(jī)有影響的網(wǎng)絡(luò)通訊，從而保護(hù)那些主機(jī)。26NIDS大多數(shù)入侵檢測(cè)廠商采用的產(chǎn)品形式。76網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)網(wǎng)絡(luò)通信檢測(cè)能力NIDS能夠檢測(cè)那些來(lái)自網(wǎng)絡(luò)的攻擊它能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)對(duì)正常業(yè)務(wù)影響少NIDS不需要改變服務(wù)器等主機(jī)的配置由于它不會(huì)在業(yè)務(wù)系統(tǒng)中的主機(jī)中安裝額外的軟件從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤(pán)等資源的使用不會(huì)影響業(yè)務(wù)系統(tǒng)的性能27網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)網(wǎng)絡(luò)通信檢測(cè)能力77網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)布署風(fēng)險(xiǎn)小NIDS不像路由器、防火墻等關(guān)鍵設(shè)備方式工作它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑NIDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行布署NIDS的風(fēng)險(xiǎn)比HIDS的風(fēng)險(xiǎn)來(lái)得少得多定制設(shè)備，安裝簡(jiǎn)單NIDS近年內(nèi)有向?qū)ｉT(mén)的設(shè)備發(fā)展的趨勢(shì)安裝NIDS系統(tǒng)非常方便只需將定制的備接上電源，做很少一些配置，將其接上網(wǎng)絡(luò)即可28網(wǎng)絡(luò)入侵檢測(cè)優(yōu)點(diǎn)布署風(fēng)險(xiǎn)小78網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)共享網(wǎng)段的局限NIDS只檢查它直接連接網(wǎng)段的通信NIDS不能監(jiān)測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包交換以太網(wǎng)環(huán)境中就會(huì)出現(xiàn)它的監(jiān)測(cè)范圍的局限多傳感器系統(tǒng)會(huì)使布署成本增加性能局限NIDS為了性能目標(biāo)通常采用特征檢測(cè)的方法它可以高效地檢測(cè)出普通的一些攻擊實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)時(shí)，對(duì)硬件處理能力要求較高29網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)共享網(wǎng)段的局限79網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)中央分析與大數(shù)據(jù)流量的矛盾NIDS可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量采用以下方法可減少回傳的數(shù)據(jù)量：對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱30網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)中央分析與大數(shù)據(jù)流量的矛盾80網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)加密通信NIDS處理加密的會(huì)話過(guò)程時(shí)，會(huì)參與解密操作目前通過(guò)加密通道的攻擊尚不多隨著IPv6的普及，這個(gè)問(wèn)題會(huì)越來(lái)越突出31網(wǎng)絡(luò)入侵檢測(cè)弱點(diǎn)加密通信81HIDS基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上。主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。32HIDS基于主機(jī)的入侵檢測(cè)產(chǎn)品（HIDS）通常是安裝在被82主機(jī)入侵檢測(cè)優(yōu)點(diǎn)入侵行為分析能力HIDS對(duì)分析“可能的攻擊行為”非常有用除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外還能分辨出入侵者干了什么事：運(yùn)行了什么程序、打開(kāi)了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用HIDS比NIDS能夠提供更詳盡的相關(guān)信息誤報(bào)率低HIDS通常情況下比NIDS誤報(bào)率要低33主機(jī)入侵檢測(cè)優(yōu)點(diǎn)入侵行為分析能力83主機(jī)入侵檢測(cè)優(yōu)點(diǎn)復(fù)雜性小因?yàn)楸O(jiān)測(cè)在主機(jī)上運(yùn)行的命令序列比監(jiān)測(cè)網(wǎng)絡(luò)流來(lái)得簡(jiǎn)單網(wǎng)絡(luò)通信要求低可布署在那些不需要廣泛的入侵檢測(cè)傳感器與控制臺(tái)之間的通信帶寬不足的情況下布署風(fēng)險(xiǎn)HIDS在不使用諸如“停止服務(wù)”、“注銷(xiāo)用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少34主機(jī)入侵檢測(cè)優(yōu)點(diǎn)復(fù)雜性小84主機(jī)入侵檢測(cè)弱點(diǎn)影響保護(hù)目標(biāo)HIDS安裝在需要保護(hù)的設(shè)備上可能會(huì)降低應(yīng)用系統(tǒng)的效率帶來(lái)一些額外的安全問(wèn)題如：安裝了HIDS后，將本不允許安全管理員有權(quán)力訪問(wèn)的服務(wù)器變成他可以訪問(wèn)的了服務(wù)器依賴(lài)性依賴(lài)于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒(méi)有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來(lái)不可預(yù)見(jiàn)的性能影響35主機(jī)入侵檢測(cè)弱點(diǎn)影響保護(hù)目標(biāo)85主機(jī)入侵檢測(cè)弱點(diǎn)全面布署代價(jià)與主機(jī)盲點(diǎn)全面布署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大若選擇部分主機(jī)保護(hù)那些未裝HIDS的機(jī)器將成為保護(hù)的盲點(diǎn)入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)工作量隨主機(jī)數(shù)目線性增加HIDS主機(jī)入侵檢測(cè)系統(tǒng)除了監(jiān)測(cè)自身的主機(jī)以外根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加36主機(jī)入侵檢測(cè)弱點(diǎn)全面布署代價(jià)與主機(jī)盲點(diǎn)86實(shí)時(shí)分析的方法實(shí)時(shí)系統(tǒng)可以不間斷地提供信息收集、分析和匯報(bào)，實(shí)時(shí)系統(tǒng)提供了多種實(shí)時(shí)報(bào)警，并對(duì)攻擊自動(dòng)做出反應(yīng)事后分析的方法在事后分析的方法中，入侵檢測(cè)系統(tǒng)將事件信息的記錄到文件中，并且由入侵檢測(cè)系統(tǒng)在事后對(duì)這些文件進(jìn)行分析，找出入侵或誤用的特征IDS信息的收集和分析的時(shí)間37實(shí)時(shí)分析的方法IDS信息的收集和分析的時(shí)間87改變被攻擊系統(tǒng)的環(huán)境斷開(kāi)進(jìn)攻者使用的連接重新配置網(wǎng)絡(luò)設(shè)施這種響應(yīng)機(jī)制可讓系統(tǒng)管理員在職權(quán)范圍內(nèi)采取主動(dòng)措施，使被檢測(cè)到的攻擊造成的損失最小化實(shí)時(shí)通知

即時(shí)發(fā)送的與事件有關(guān)的信息，通知重要人員電子郵件、尋呼機(jī)、手機(jī)短消息、傳真等對(duì)誤用或入侵的響應(yīng)38改變被攻擊系統(tǒng)的環(huán)境對(duì)誤用或入侵的響應(yīng)88入侵檢測(cè)技術(shù)發(fā)展方向高速網(wǎng)絡(luò)的數(shù)據(jù)分析能力分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)智能的入侵檢測(cè)入侵檢測(cè)的評(píng)測(cè)方法與其它網(wǎng)絡(luò)安全技術(shù)相結(jié)合39入侵檢測(cè)技術(shù)發(fā)展方向高速網(wǎng)絡(luò)的數(shù)據(jù)分析能力89使用網(wǎng)絡(luò)協(xié)處理器提高處理能力40