信息安全技術(shù)第5講

安全檢測技術(shù)5.1入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品5.2漏洞檢測技術(shù)和微軟系統(tǒng)漏洞檢測工具MBSA第5講

安全檢測技術(shù)5.1入侵檢測技術(shù)與網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)品傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻技術(shù)等都是靜態(tài)安全防御技術(shù)，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)；而入侵檢測技術(shù)則是動態(tài)安全技術(shù)的核心技術(shù)之一，可以作為防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、安全檢測、入侵識別、入侵取證和響應(yīng)等)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。第5講

安全檢測技術(shù)入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是一類專門面向網(wǎng)絡(luò)入侵的安全監(jiān)測系統(tǒng)，它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全防線，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。第5講

安全檢測技術(shù)入侵檢測系統(tǒng)主要執(zhí)行以下任務(wù)：1)監(jiān)視、分析用戶及系統(tǒng)活動。2)系統(tǒng)構(gòu)造和弱點的審計。3)識別反映已知進攻的活動模式并報警。4)異常行為模式的統(tǒng)計分析。5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。6)對操作系統(tǒng)的審計追蹤管理，并識別用戶違反安全策略的行為。第5講

安全檢測技術(shù)一個成功的入侵檢測系統(tǒng)，不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。同時，它應(yīng)該是管理和配置簡單，使非專業(yè)人員能容易地獲得網(wǎng)絡(luò)安全。當(dāng)然，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，應(yīng)及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。第5講

安全檢測技術(shù)目前，入侵檢測系統(tǒng)主要以模式匹配技術(shù)為主，并結(jié)合異常匹配技術(shù)。從實現(xiàn)方式上一般分為兩種：基于主機和基于網(wǎng)絡(luò)，而一個完備的入侵檢測系統(tǒng)則一定是基于主機和基于網(wǎng)絡(luò)這兩種方式兼?zhèn)涞姆植际较到y(tǒng)。另外，能夠識別的入侵手段數(shù)量的多少、最新入侵手段的更新是否及時也是評價入侵檢測系統(tǒng)的關(guān)鍵指標。第5講

安全檢測技術(shù)利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和P2DR(Policy，Protection，Detection，Response，即策略、保護、探測、反應(yīng))安全模型，已經(jīng)可以深入研究入侵事件、入侵手段本身及被入侵目標的漏洞等。隨著P2DR安全模型被廣泛認同，入侵檢測系統(tǒng)在信息系統(tǒng)安全中占據(jù)越來越重要的地位。第5講

安全檢測技術(shù)1.IDS分類根據(jù)檢測方法不同分類根據(jù)數(shù)據(jù)源不同分類第5講

安全檢測技術(shù)(1)根據(jù)檢測方法不同分類按具體的檢測方法，可將入侵檢測系統(tǒng)分為基于行為和基于知識兩類。第5講

安全檢測技術(shù)1)基于行為的檢測，也稱為異常檢測。是指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否發(fā)生入侵，而不依賴具體行為是否出現(xiàn)，即建立被檢測系統(tǒng)正常行為的參考庫，并通過與當(dāng)前行為進行比較來尋找偏離參考庫的異常行為。對于異常閾值與特征的選擇是異常發(fā)現(xiàn)技術(shù)的關(guān)鍵。例如，通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。第5講

安全檢測技術(shù)異常發(fā)現(xiàn)技術(shù)的局限是，并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡也難以計算和更新。例如，一般在白天使用計算機的某用戶，如果他突然在午夜注冊登記，則有可能被認為是入侵者在使用。第5講

安全檢測技術(shù)2)基于知識的檢測，也被稱為誤用檢測。是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過與這些入侵模式是否匹配來判斷入侵。入侵模式是入侵過程的特征、條件、排列以及事件間的關(guān)系，即具體入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有警戒作用，因為只要部分滿足這些入侵跡象就意味著可能有入侵發(fā)生。第5講

安全檢測技術(shù)入侵模式匹配的關(guān)鍵是如何表達入侵的模式，把入侵與正常行為區(qū)分開來。入侵模式匹配的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。第5講

安全檢測技術(shù)(2)根據(jù)數(shù)據(jù)源不同分類根據(jù)檢測系統(tǒng)所依據(jù)分析的原始數(shù)據(jù)不同，可將入侵檢測分為來自系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包兩種。入侵檢測的早期研究主要集中在對主機系統(tǒng)日志文件的分析上，因為當(dāng)時的用戶對象局限于本地用戶。操作系統(tǒng)的日志文件中包含了詳細的用戶信息和系統(tǒng)調(diào)用數(shù)據(jù)，從中可以分析系統(tǒng)是否被侵入以及侵入者留下的痕跡等審計信息。第5講

安全檢測技術(shù)隨著因特網(wǎng)的普及，用戶可隨機地從不同客戶機上登錄，主機間也經(jīng)常需要交換信息，網(wǎng)絡(luò)數(shù)據(jù)包中同樣也含有用戶信息。這樣，就使入侵檢測的對象范圍擴大至整個網(wǎng)絡(luò)。此外，還可根據(jù)系統(tǒng)運行特性分為實時檢測和周期性檢測，以及根據(jù)檢測到入侵行為后是否采取相應(yīng)措施而分為主動型和被動型等。圖5.1兩類檢測的關(guān)系第5講

安全檢測技術(shù)2.IDS的基本原理由于對安全事件的檢測通常包括了大量復(fù)雜的步驟，涉及到很多方面，任何單一技術(shù)都很難提供完備的檢測能力，需要綜合多個檢測系統(tǒng)以達到盡量完備的檢測能力。在根據(jù)安全事件報警的標準格式所定義的安全模型中，對一些入侵檢測術(shù)語進行了規(guī)范，包括：第5講

安全檢測技術(shù)1)數(shù)據(jù)源(Datasource)：入侵檢測系統(tǒng)用來檢測非授權(quán)或不希望的活動的原始信息。通常的數(shù)據(jù)源包括(但不限于)原始的網(wǎng)絡(luò)包、操作系統(tǒng)審計日志、應(yīng)用程序日志以及系統(tǒng)生成的校驗和數(shù)據(jù)等。2)活動(Activity)：由傳感器或分析器識別出的數(shù)據(jù)源的實例。例如，網(wǎng)絡(luò)會話、用戶活動和應(yīng)用事件等。活動既包括極其嚴重的事件(例如明顯的惡意攻擊)，也包括不太嚴重的事件(如值得進一步深究的異常用戶活動)。第5講

安全檢測技術(shù)3)傳感器(Sensor)：從數(shù)據(jù)源搜集數(shù)據(jù)的入侵檢測構(gòu)件或模塊。數(shù)據(jù)搜集的頻率由具體提供的入侵檢測系統(tǒng)決定。4)事件(Event)：在數(shù)據(jù)源中發(fā)生且被分析器檢測到的，可能導(dǎo)致警報傳輸?shù)男袨椤＠纾?0s內(nèi)的3次失敗登錄，可能表示強行登錄嘗試攻擊。第5講

安全檢測技術(shù)5)分析器(Analyzer)：入侵檢測的構(gòu)件或進程，它分析傳感器搜集的數(shù)據(jù)，這些數(shù)據(jù)反映了一些非授權(quán)的或不希望的活動，以及安全管理員感興趣的安全事件的跡象。在很多現(xiàn)有的入侵檢測系統(tǒng)中，將傳感器和分析器作為同一構(gòu)件的不同部分。6)安全策略(Securitypolicy)：預(yù)定義的正式文檔聲明，定義哪些服務(wù)可以通過被監(jiān)控的網(wǎng)段，還包括(但不限于)哪些主機不允許外部網(wǎng)絡(luò)訪問，從而支持組織的安全需求。第5講

安全檢測技術(shù)7)報警(Alert)：由分析器發(fā)給管理器的消息，表明一個事件被檢測到。報警通常包含被檢測到的異?；顒拥挠嘘P(guān)信息和事件細節(jié)。當(dāng)一個入侵正在發(fā)生或者試圖發(fā)生時，IDS系統(tǒng)將發(fā)布一個Alert信息通知系統(tǒng)管理員。如果控制臺與IDS系統(tǒng)同在一臺機器，Alert信息將顯示在監(jiān)視器上，也可能伴隨著聲音提示。如果是遠程控制臺，那么Alert將通過IDS系統(tǒng)內(nèi)置方法(通常是加密的)、SNMP(簡單網(wǎng)絡(luò)管理協(xié)議，通常不加密)、E-mail、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員。第5講

安全檢測技術(shù)8)管理器(Manager)：入侵檢測的構(gòu)件或進程，操作員通過它可以管理入侵檢測系統(tǒng)的各種構(gòu)件。典型管理功能通常包括：傳感器配置、分析器配置、事件通告管理、數(shù)據(jù)合并及報告等。9)通告(Notification)：入侵檢測系統(tǒng)管理器用來使操作員知曉事件發(fā)生的方法。在很多入侵檢測系統(tǒng)中，盡管有許多其他的通告技術(shù)可以采用，但通常是通過在入侵檢測系統(tǒng)管理器屏幕上顯示一個彩色圖標、發(fā)送電子郵件或?qū)ず魴C消息，或者發(fā)送SNMP的陷門來實現(xiàn)。第5講

安全檢測技術(shù)10)管理員(Administrator)：負責(zé)維護和管理一個組織機構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)安全的人員。管理員與負責(zé)安裝配置入侵檢測系統(tǒng)及監(jiān)視入侵檢測系統(tǒng)輸出的人員，可能是一人也可能是多人；他可能屬于網(wǎng)絡(luò)/系統(tǒng)管理組，也可能是一個單獨的職位。11)操作員(Operator)：入侵檢測系統(tǒng)管理器的主要使用者。操作員監(jiān)視入侵檢測系統(tǒng)的輸出，并負責(zé)發(fā)起或建議進一步的行動。第5講

安全檢測技術(shù)12)響應(yīng)(Response)：對一個事件所采取的響應(yīng)動作。響應(yīng)可以由入侵檢測系統(tǒng)體系結(jié)構(gòu)中的一些實體自動執(zhí)行，也可由人工發(fā)起?；镜捻憫?yīng)包括：向操作員發(fā)送通告、將活動記入日志、記錄描述事件特征的原始數(shù)據(jù)、中斷網(wǎng)絡(luò)連接或用戶應(yīng)用程序會話過程，或者改變網(wǎng)絡(luò)或系統(tǒng)的訪問控制等。13)特征表示(Signature)：分析器用于標識安全管理員感興趣的活動的規(guī)則。表示符代表了入侵檢測系統(tǒng)的檢測機制。第5講

安全檢測技術(shù)14)入侵檢測系統(tǒng)(IDS)：由一個或多個傳感器、分析器、管理器組成，可自動分析系統(tǒng)活動，是檢測安全事件的工具或系統(tǒng)。第5講

安全檢測技術(shù)一個簡單的入侵檢測系統(tǒng)的示意圖如圖5.2所示。圖5.2簡單的入侵檢測系統(tǒng)示意圖第5講

安全檢測技術(shù)系統(tǒng)可以分成數(shù)據(jù)采集、入侵分析引擎、管理配置、響應(yīng)處理和相關(guān)的輔助模塊等。1)數(shù)據(jù)采集模塊：為入侵分析引擎模塊提供分析用的數(shù)據(jù)。一股有操作系統(tǒng)的審計日志、應(yīng)用程序日志、系統(tǒng)生成的校驗和數(shù)據(jù)，以及網(wǎng)絡(luò)數(shù)據(jù)包等。2)入侵分析引擎模塊：依據(jù)輔助模塊提供的信息(如攻擊模式)，按照一定的算法對收集到的數(shù)據(jù)進行分析，從中判斷是否有入侵行為出現(xiàn)并產(chǎn)生入侵報警。該模塊是入侵檢測系統(tǒng)的核心模塊。第5講

安全檢測技術(shù)3)管理配置模塊：它的功能是為其他模塊提供配置服務(wù)，是入侵檢測系統(tǒng)中模塊與用戶的接口。4)響應(yīng)處理模塊：當(dāng)發(fā)生入侵后，預(yù)先為系統(tǒng)提供緊急的措施，如關(guān)閉網(wǎng)絡(luò)服務(wù)、中斷網(wǎng)絡(luò)連接及啟動備份系統(tǒng)等。5)輔助模塊：協(xié)助入侵分析引擎模塊工作，為它提供相應(yīng)的信息，如攻擊模式庫、系統(tǒng)配置庫和安全控制策略等。第5講

安全檢測技術(shù)3.入侵檢測系統(tǒng)的結(jié)構(gòu)由于IDS的物理實現(xiàn)方式不同，即系統(tǒng)組成的結(jié)構(gòu)不同，按檢測的監(jiān)控位置劃分，入侵檢測系統(tǒng)可分為基于主機、基于網(wǎng)絡(luò)和分布式三類。第5講

安全檢測技術(shù)(1)基于主機的入侵檢測系統(tǒng)這是早期的入侵檢測系統(tǒng)結(jié)構(gòu)，系統(tǒng)(如圖5.2所示)的檢測目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是在每一個需要保護的主機上運行一個代理程序，根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件。檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上，從而實現(xiàn)監(jiān)控。第5講

安全檢測技術(shù)這種類型的系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志的準確性和完整性，以及安全事件的定義。若入侵者設(shè)法逃避審計或進行合作入侵，就會出現(xiàn)問題。特別是在網(wǎng)絡(luò)環(huán)境下，單獨依靠主機審計信息進行入侵檢測，將難以適應(yīng)網(wǎng)絡(luò)安全的需求。第5講

安全檢測技術(shù)基于主機的入侵檢測系統(tǒng)可以精確地判斷入侵事件，并可對入侵事件立即進行反應(yīng)；還可針對不同操作系統(tǒng)的特點來判斷應(yīng)用層的入侵事件。但一般與操作系統(tǒng)和應(yīng)用層入侵事件的結(jié)合過于緊密，通用性較差，并且IDS的分析過程會占用寶貴的主機資源。另外，對基于網(wǎng)絡(luò)的攻擊不敏感，特別是假冒IP的入侵。第5講

安全檢測技術(shù)由于服務(wù)器需要與因特網(wǎng)交互作用，因此在各服務(wù)器上應(yīng)當(dāng)安裝基于主機的入侵檢測軟件，并將檢測結(jié)果及時向管理員報告。基于主機的入侵檢測系統(tǒng)沒有帶寬的限制，它們密切監(jiān)視系統(tǒng)日志，能識別運行代理程序的機器上受到的攻擊?；谥鳈C的入侵檢測系統(tǒng)提供了基于網(wǎng)絡(luò)系統(tǒng)不能提供的精細功能，包括二進制完整性檢查、系統(tǒng)日志分析和非法進程關(guān)閉等功能，并能根據(jù)受保護站點的實際情況進行針對性的定制，使其工作效果明顯，誤警率相當(dāng)?shù)汀５?講

安全檢測技術(shù)(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨依靠主機審計信息進行入侵檢測將難以適應(yīng)網(wǎng)絡(luò)安全的需求。因此，人們提出了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)。這種檢測系統(tǒng)使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，通常利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，IDS的相應(yīng)模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)如圖5.3所示。圖5.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)示意圖第5講

安全檢測技術(shù)系統(tǒng)中數(shù)據(jù)采集模塊由過濾器、網(wǎng)絡(luò)接口引擎和過濾規(guī)則決策器組成。它的功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給入侵分析引擎模塊進行安全分析；入侵分析引擎模塊將根據(jù)從采集模塊傳來的數(shù)據(jù)包并結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進行分析，把分析結(jié)果傳送給管理/配置模塊：而管理/配置模塊的主要功能是管理其他功能模塊的配置工作，并將入侵分析引擎模塊的輸出結(jié)果以有效的方式通知網(wǎng)絡(luò)管理員。第5講

安全檢測技術(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點：1)檢測的范圍是整個網(wǎng)段，而不僅是被保護的主機。2)實時檢測和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測就可以隨時發(fā)現(xiàn)它們，因此能夠更快地做出反應(yīng)，從而將入侵活動對系統(tǒng)的破壞降到最低。3)隱蔽性好。由于不需要在每個主機上安裝，所以不易被發(fā)現(xiàn)。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的端系統(tǒng)甚至可以沒有網(wǎng)絡(luò)地址，從而使攻擊者沒有攻擊的目標。第5講

安全檢測技術(shù)4)不需要任何特殊的審計和登錄機制，只要配置網(wǎng)絡(luò)接口就可以了，不會影響其他數(shù)據(jù)源。5)操作系統(tǒng)獨立。基于網(wǎng)絡(luò)的IDS并不依賴主機的操作系統(tǒng)作為其檢測資源，而基于主機的IDS需要特定的操作系統(tǒng)才能發(fā)揮作用。第5講

安全檢測技術(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要不足在于：只能檢測經(jīng)過本網(wǎng)段的活動，并且精確度較差，在交換式網(wǎng)絡(luò)環(huán)境下難以配置，防入侵欺騙的能力也比較差；而且無法知道主機內(nèi)部的安全情況，而主機內(nèi)部普通用戶的威脅也是網(wǎng)絡(luò)信息系統(tǒng)安全的重要組成部分；另外，如果數(shù)據(jù)流進行了加密，就不能審查其內(nèi)容，對主機上執(zhí)行的命令也就難以檢測。第5講

安全檢測技術(shù)因此，基于網(wǎng)絡(luò)和基于主機的安全檢測在方法上是需要互補的。第5講

安全檢測技術(shù)(3)分布式入侵檢測系統(tǒng)隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，帶來了許多新的入侵檢測問題，于是，產(chǎn)生了分布式入侵檢測系統(tǒng)。分布式IDS的目標是既能檢測網(wǎng)絡(luò)入侵行為，又能檢測主機的入侵行為。系統(tǒng)通常由數(shù)據(jù)采集模塊、通信傳輸模塊、入侵檢測分析模塊、響應(yīng)處理模塊、管理中心模塊及安全知識庫組成。第5講

安全檢測技術(shù)這些模塊可根據(jù)不同情況進行組合，例如，由數(shù)據(jù)采集模塊和通信傳輸模塊組合產(chǎn)生出的新模塊能完成數(shù)據(jù)采集和傳輸這兩種任務(wù)。所有這些模塊組合起來就變成了一個入侵檢測系統(tǒng)。需要特別指出的是，模塊按網(wǎng)絡(luò)配置情況和檢測的需要，可以安裝在單獨的一臺主機上，也可分散在網(wǎng)絡(luò)中的不同位置，甚至一些模塊本身就能夠單獨檢測本地的入侵，同時將入侵檢測的局部結(jié)果信息提供給入侵檢測管理中心。第5講

安全檢測技術(shù)分布式IDS結(jié)構(gòu)對大型網(wǎng)絡(luò)的安全是有幫助的，它能夠?qū)⒒谥鳈C和基于網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)結(jié)合起來，檢測所用到的數(shù)據(jù)源豐富，可克服前兩者的弱點。但是，分布式的結(jié)構(gòu)增加了網(wǎng)絡(luò)管理復(fù)雜度，如傳輸安全事件過程中增加了對通信安全問題的處理等。第5講

安全檢測技術(shù)4.入侵檢測的基本方法入侵檢測的基本方法主要有基于用戶行為概率統(tǒng)計模型、基于神經(jīng)網(wǎng)絡(luò)、基于專家系統(tǒng)和基于模型推理等。第5講

安全檢測技術(shù)(1)基于用戶行為概率統(tǒng)計模型的入侵檢測方法這種方法是基于對用戶歷史行為以及在早期的證據(jù)或模型的基礎(chǔ)上進行的，系統(tǒng)實時檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進行檢測。當(dāng)有可疑行為發(fā)生時，保持追蹤并監(jiān)測、記錄該用戶的行為。第5講

安全檢測技術(shù)通常系統(tǒng)要根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當(dāng)某用戶改變其行為習(xí)慣時，這種異常就會被檢測出來。例如，統(tǒng)計系統(tǒng)會記錄CPU的使用時間，I/O的使用通道和頻率，常用目錄的建立與刪除，文件的讀寫、修改、刪除，以及用戶習(xí)慣使用的編輯器和編譯器，最常用的系統(tǒng)調(diào)用，用戶ID的存取，文件和目錄的使用等。第5講

安全檢測技術(shù)這種方法的弱點主要是：1)對于非常復(fù)雜的用戶行為很難建立一個準確匹配的統(tǒng)計模型。2)統(tǒng)計模型沒有普遍性，因此，一個用戶的檢測措施并不適用于其他用戶，這將使得算法龐大而且復(fù)雜。3)由于采用統(tǒng)計方法，系統(tǒng)將不得不保留大量的用戶行為信息，導(dǎo)致系統(tǒng)的臃腫和難以剪裁。第5講

安全檢測技術(shù)(2)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進行入侵檢測的，因此，對于用戶行為具有學(xué)習(xí)和自適應(yīng)性，能夠根據(jù)實際檢測到的信息有效地加以處理并做出判斷，但尚不十分成熟，目前還沒有出現(xiàn)較為完善的產(chǎn)品。第5講

安全檢測技術(shù)(3)基于專家系統(tǒng)的入侵檢測方法根據(jù)安全專家對可疑行為的分析經(jīng)驗形成的一套推理規(guī)則，在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)，專家系統(tǒng)能自動對所涉及的入侵行為進行分析。該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗的積累，利用其自學(xué)習(xí)能力進行規(guī)則的擴充和修正。第5講

安全檢測技術(shù)(4)基于模型推理的入侵檢測方法根據(jù)入侵者在進行入侵時所執(zhí)行程序的某些行為特征，建立一種入侵行為模型；根據(jù)這種行為模型來判斷用戶的操作是否屬于入侵行為。當(dāng)然這種方法也是建立在對已知入侵行為的基礎(chǔ)上的，對未知入侵行為模型的識別需要進一步學(xué)習(xí)和擴展。第5講

安全檢測技術(shù)上述每一種方法都不能保證準確地檢測出變化無窮的入侵行為，因此，在網(wǎng)絡(luò)安全防護中要充分衡量各種方法的利弊，綜合運用這些方法才能有效地檢測出入侵者的非法行為。演講完畢，謝謝觀看！附錄資料：不需要的可以自行刪除55信息化規(guī)劃與管理建立企業(yè)模型56第一節(jié)信息化規(guī)劃項目的規(guī)劃

制定大、中型企業(yè)的信息化規(guī)劃本身就是一個龐大的項目，必須對這個信息化規(guī)劃項目進行規(guī)劃，這是制定信息化規(guī)劃階段的第一項任務(wù)，在這一項任務(wù)中應(yīng)該完成以下三個子任務(wù)：

57一、確定信息戰(zhàn)略規(guī)劃的邊界

確定信息化規(guī)劃的范圍，是對企業(yè)制定整體（或全局）規(guī)劃，還是制定企業(yè)一個部門的規(guī)劃（局部規(guī)劃）；確定IT規(guī)劃的信息技術(shù)邊界，即信息系統(tǒng)應(yīng)用哪些信息技術(shù)；確定信息化規(guī)劃的時間限制，一般應(yīng)在3~6個月之內(nèi)完成，時間太短，結(jié)果比較膚淺；時間太長了，規(guī)劃過于詳細，可能過時。

58二、建立制定信息化規(guī)劃項目的組織

項目發(fā)起人，他是主管項目的高級行政官員，他能與其他高層管理人員進行交流；項目小組，即前面所述的核心小組；咨詢小組，其作用是提供項目小組不具備的專業(yè)技術(shù)，審查可交付的報告，以確保能正確反映業(yè)務(wù)現(xiàn)實。是否一定需要咨詢小組，可以根據(jù)企業(yè)的具體情況來決定，所以，咨詢小組是任選的。

59三、制定項目進度表

制定企業(yè)的信息化規(guī)劃要完成7項任務(wù)，而每一項任務(wù)又包含一些子任務(wù)，有的子任務(wù)仍需分解成為更小的任務(wù)。為此，需要制定一個詳細的任務(wù)表，規(guī)定各個任務(wù)的優(yōu)先次序和完成任務(wù)的時間安排。給項目組成員分配具體任務(wù)和確定任務(wù)完成的時間，并繪制詳細的進度表，便于及時檢查和掌握工作進度。

60第二節(jié)初始的企業(yè)模型信息化規(guī)劃階段的第二個任務(wù)是建立一個初始的高層次的企業(yè)模型。高層次的企業(yè)模型應(yīng)包括業(yè)務(wù)處理的主要數(shù)據(jù)（稱為主題域）和這些數(shù)據(jù)之間的關(guān)系，以及企業(yè)的高層業(yè)務(wù)功能。首先要求識別企業(yè)的組織結(jié)構(gòu)，確定企業(yè)的任務(wù)、目標和關(guān)鍵成功因素及其信息需求，進行業(yè)務(wù)戰(zhàn)略規(guī)劃。

61一、建立組織層次圖

首先，識別企業(yè)的組織機構(gòu)，建立企業(yè)的組織層次圖。

信息來源：從得到的組織結(jié)構(gòu)的文檔中獲得。信息輸入：組織結(jié)構(gòu)圖，組織手冊或指南，組織文件或數(shù)據(jù)庫報表。信息輸出：組織層次圖和組織單元的信息記錄表。

62信息輸入步驟1：利用IT規(guī)劃工具箱的組織層次圖表來表示層次形式的組織結(jié)構(gòu)，或用縮進形式圖表表示。步驟2：記錄每一組織單元的下列信息，并建立組織單元信息記錄表。

名稱；

負責(zé)人的姓名和職務(wù)；

組織單元的任務(wù)；組織單元之間的關(guān)系。信息輸出：組織層次圖、組織單元的信息記錄表63二、識別企業(yè)的任務(wù)、目標、戰(zhàn)略重點和關(guān)鍵的成功因素

為了獲取企業(yè)的信息需求，應(yīng)該識別企業(yè)的任務(wù)、目標、戰(zhàn)略重點和關(guān)鍵的成功因素。信息來源：從審查的書面文檔中提取有關(guān)業(yè)務(wù)的材料。信息輸入：正式的業(yè)務(wù)計劃、年底報告、戰(zhàn)略備忘錄、組織層次圖。信息輸出：任務(wù)說明書組織單元的目標、戰(zhàn)略和關(guān)鍵成功因素列表企業(yè)目標／組織單元目標矩陣企業(yè)和主要單元的初始目標層次列表

64信息輸入步驟1：考察全部提供的可用文件，確定并列出企業(yè)的任務(wù)、目標、戰(zhàn)略和關(guān)鍵成功因素，在確定企業(yè)的關(guān)鍵成功因素時，應(yīng)注意它們總是與確保企業(yè)競爭能力的因素相關(guān)。關(guān)鍵成功因素是由企業(yè)的關(guān)鍵信息、關(guān)鍵假設(shè)和關(guān)鍵的決策組成的。步驟2：將任務(wù)、目標和關(guān)鍵成功因素組成一個任務(wù)說明書。

步驟3：記錄組織層次圖中與企業(yè)有直接關(guān)系的組織單元的目標、戰(zhàn)略和關(guān)鍵成功因素。步驟4：建立企業(yè)目標／組織單元目標矩陣，

步驟5：產(chǎn)生一份初始的目標層次列表，信息輸出：同前

65三、闡述信息需求和性能度量

在信息輸出的基礎(chǔ)上，必須識別出支持每個目標和關(guān)鍵成功因素所需要的信息，這稱為“信息需求”；給出的評價每個目標完成的方法，稱為“性能度量”。信息輸入：書面文件，上一節(jié)的信息輸出、組織層次圖。信息輸出：信息需求列表信息需求／組織矩陣性能度量／組織矩陣

66信息輸入步驟1：識別和記錄信息需求及其特征，建立信息需求列表。（表6-2）

步驟2：建立信息需求／組織單元矩陣，其元素表示一組織單元的信息需求。（表6-3）

步驟3：建立性能度量／組織單元矩陣，其元素表示一個組織單元通過一個或多個性能度量來監(jiān)測它的目標。信息輸出：同上67四、分析信息技術(shù)的潛在影響

通過分析信息技術(shù)對企業(yè)業(yè)務(wù)的潛在影響，找出使業(yè)務(wù)可能獲益的信息技術(shù)，這里的信息技術(shù)是指用于創(chuàng)建新的業(yè)務(wù)機會的計算機硬件、軟件、數(shù)據(jù)庫和網(wǎng)絡(luò)通信產(chǎn)品。信息輸入：與信息技術(shù)最新發(fā)展和應(yīng)用有關(guān)的出版物，發(fā)行的目前流行的技術(shù)環(huán)境的業(yè)務(wù)文件，有可能依賴于信息技術(shù)的業(yè)務(wù)戰(zhàn)略。信息輸出：是一個有關(guān)信息技術(shù)對該企業(yè)業(yè)務(wù)產(chǎn)生潛在影響的簡短說明。

68信息輸入步驟1：重新審查可用的技術(shù)資料，以確定信息技術(shù)在企業(yè)內(nèi)部使用的范圍。步驟2：根據(jù)規(guī)劃者的經(jīng)驗和從出版物中得到的信息，列出使業(yè)務(wù)可能獲益的技術(shù)，這些技術(shù)包括四類：轉(zhuǎn)化為產(chǎn)品或服務(wù)的技術(shù)，或轉(zhuǎn)化為部分產(chǎn)品或部分服務(wù)的技術(shù)，銀行所關(guān)心的產(chǎn)品或服務(wù)的技術(shù)，用于市場銷售的技術(shù)，提高企業(yè)競爭優(yōu)勢的技術(shù)信息輸出