入侵檢測(cè)與入侵防御入侵檢測(cè)系統(tǒng)入侵檢測(cè)的起源1980年4月，JamesP.Anderson在“計(jì)算機(jī)安全威脅的監(jiān)察與監(jiān)管”（ComputerSecurityThreatMonitoringandSurveillance）報(bào)告中，首次提出了入侵檢測(cè)的思想，這份報(bào)告被公認(rèn)為入侵檢測(cè)的開山之作。第一次詳細(xì)闡述了入侵檢測(cè)的概念計(jì)算機(jī)系統(tǒng)威脅分類:外部滲透、內(nèi)部滲透和不法行為提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想威脅模型入侵檢測(cè)的起源1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)專家系統(tǒng)：IDES-a（IntrusionDetectionExportSystem）1987年，喬治敦大學(xué)的DorothyE.Denning在論文《入侵檢測(cè)模型》（AnIntrusion-DetectionModel）中，首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御問題的措施提出。通用的入侵檢測(cè)系統(tǒng)抽象模型主體（Subjects）對(duì)象（Objects）審計(jì)記錄（Auditrecords）活動(dòng)檔案（Profiles）異常記錄（Anomolyrecords）活動(dòng)規(guī)則（Activityrules）入侵檢測(cè)的起源1988年之后，美國開展對(duì)分布式入侵檢測(cè)系統(tǒng)（DistributedIntrusionDetectionSystem,

DIDS）的研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起。DIDS是分布式入侵檢測(cè)系統(tǒng)歷史上的一個(gè)里程碑式的產(chǎn)品。1989年，美國加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了N.S.M（NetworkSecurityMonitor），并于1990年發(fā)表相關(guān)論文。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的NIDS和基于主機(jī)的HIDS1991年，HaroldS.Javitz和AlfonsoValdes發(fā)布《TheSRIIDESStatisticalAnomalyDetector》（統(tǒng)計(jì)異常檢測(cè)）1994年，Sandeep.Kumar和EugeneH.Spafford發(fā)布《AnApplicationofPatternMatchinginIntrusionDetection》（模式匹配在入侵檢測(cè)中的應(yīng)用），誤用檢測(cè)理論。入侵檢測(cè)的起源從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面。1995年，下一代入侵檢測(cè)專家系統(tǒng)（NextGenerationIDES,NG-IDES）產(chǎn)生，可以檢測(cè)多個(gè)主機(jī)上的入侵。1996年，基于圖的入侵檢測(cè)系統(tǒng)（Graph-basedIntrusionDetectionSystem,GrIDS）出現(xiàn)，主要用于針對(duì)大規(guī)模協(xié)同、自動(dòng)化檢測(cè)。1998年，S.Staniford等人提出一個(gè)公共入侵檢測(cè)框架（CommonIntrusionDetectionFramework,CIDF），IDS被分為4個(gè)組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元及事件數(shù)據(jù)庫，CIDF也是構(gòu)建分布式IDS的基礎(chǔ)。2007年，CIDF工作組再次發(fā)布了3篇IETFRFC標(biāo)準(zhǔn)草稿，分別為RFC4765入侵檢測(cè)消息交換格式、RFC4766入侵檢測(cè)消息交換要求和RFC4767入侵檢測(cè)交換協(xié)議。網(wǎng)關(guān)類產(chǎn)品的局限防火墻的局限可以管控訪問規(guī)則，不能識(shí)別流量問題可以控制流量大小，不能對(duì)應(yīng)用層協(xié)議進(jìn)行深度分析下一代防火墻可以防病毒，但因?yàn)榉啦《镜脑韺?dǎo)致性能衰減可以對(duì)邊界的部分攻擊進(jìn)行檢測(cè)，無法對(duì)內(nèi)網(wǎng)威脅的東西向傳播進(jìn)行檢測(cè)防火墻核心交換機(jī)服務(wù)器服務(wù)器服務(wù)器數(shù)據(jù)流量A/B/C正常流量A異常流量B攻擊流量C入侵檢測(cè)系統(tǒng)的定義入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，簡(jiǎn)稱“IDS”）是一種對(duì)

網(wǎng)絡(luò)傳輸

進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。IDSIDS防火墻核心交換機(jī)服務(wù)器服務(wù)器服務(wù)器數(shù)據(jù)流量A/B/C正常流量A異常流量B攻擊流量C入侵檢測(cè)流量監(jiān)測(cè)入侵檢測(cè)的作用入侵檢測(cè)可以識(shí)別入侵者，識(shí)別入侵行為，監(jiān)視和檢測(cè)已成功的安全突破，為對(duì)抗入侵及時(shí)提供重要信息，以阻止事件的發(fā)生和事態(tài)的擴(kuò)大，具有如下作用：實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為，持續(xù)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并及時(shí)處理所捕獲的數(shù)據(jù)報(bào)文；安全審計(jì)，通過對(duì)入侵檢測(cè)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，為評(píng)估系統(tǒng)的安全狀態(tài)提供相關(guān)證據(jù)；不占用被保護(hù)系統(tǒng)的任何資源，作為獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透明，本身的安全性較高；主機(jī)入侵檢測(cè)系統(tǒng)運(yùn)行于被保護(hù)系統(tǒng)之上，可以直接保護(hù)、恢復(fù)系統(tǒng)；IDS防火墻內(nèi)部用戶入侵檢測(cè)受保護(hù)系統(tǒng)訪問控制特權(quán)用戶定時(shí)掃描系統(tǒng)交換機(jī)內(nèi)部訪問特權(quán)訪問外部訪問監(jiān)測(cè)通過防火墻的流量監(jiān)測(cè)內(nèi)網(wǎng)流量入侵檢測(cè)分類-數(shù)據(jù)源基于主機(jī)（Host-Based）的入侵檢測(cè)系統(tǒng)HIDS能夠監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄、系統(tǒng)日志。在每個(gè)受保護(hù)的主機(jī)上運(yùn)行客戶端程序，用于實(shí)時(shí)監(jiān)測(cè)主機(jī)系統(tǒng)的信息通信，一旦發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)，立即交由檢測(cè)系統(tǒng)主機(jī)進(jìn)行分析。辦公PC服務(wù)器入侵分析中心網(wǎng)管PC日志代理日志代理過濾分析辦公PC日志分析數(shù)據(jù)的獲取方式分為直接檢測(cè)和間接檢測(cè)。數(shù)據(jù)獲取的架構(gòu)一般采用AAFID（AutonomousAgentsforIntrusionDetection）架構(gòu)，將整個(gè)數(shù)據(jù)獲取拆分為數(shù)據(jù)源（系統(tǒng)調(diào)用、端口調(diào)用、審計(jì)記錄、系統(tǒng)日志、應(yīng)用日志）、代理、過濾器幾部分，最終將采集的數(shù)據(jù)交給分析系統(tǒng)。入侵檢測(cè)分類-數(shù)據(jù)源IDS防火墻內(nèi)部PCNIDS受保護(hù)系統(tǒng)訪問控制特權(quán)PC內(nèi)部訪問特權(quán)訪問外部訪問端口鏡像、分光器復(fù)制流量網(wǎng)管PC基于網(wǎng)絡(luò)（Network-Based）的入侵檢測(cè)系統(tǒng)NIDS使用原始流量數(shù)據(jù)包作為數(shù)據(jù)源，利用網(wǎng)絡(luò)適配器實(shí)時(shí)監(jiān)測(cè)并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流量，其主要工作思想是根據(jù)網(wǎng)絡(luò)協(xié)議和通信原理實(shí)現(xiàn)數(shù)據(jù)包的捕獲和過濾，進(jìn)行入侵特征識(shí)別和協(xié)議分析。監(jiān)測(cè)的內(nèi)容，以TCP/IP協(xié)議族為基礎(chǔ)?；诨旌蠑?shù)據(jù)源的入侵檢測(cè)系統(tǒng)以多種數(shù)據(jù)源為檢測(cè)目標(biāo)，其采用分布式部署模式，在需要監(jiān)視的服務(wù)器和和網(wǎng)絡(luò)路徑上部署監(jiān)視模塊，監(jiān)視模塊再向管理服務(wù)器報(bào)告及上傳證據(jù)。應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TelnetFTPTFTPSNMPHTTPSMTPDNSDHCPTCPUDPICMPIPARP、RARPVLANEthernetPPP、PPPoE``````入侵檢測(cè)分類-分析方法異常檢測(cè)（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），試圖用定量的方式加以描述，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。漏報(bào)率低，誤報(bào)率高，可一定程度識(shí)別0-day攻擊。流量監(jiān)控?cái)?shù)據(jù)量化規(guī)則比較規(guī)則修正判定告警流量監(jiān)控特征提取模式匹配判定告警誤用檢測(cè)（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。誤報(bào)低、漏報(bào)高，針對(duì)已知攻擊類型。入侵檢測(cè)分類-檢測(cè)方式實(shí)時(shí)檢測(cè)系統(tǒng)非實(shí)時(shí)檢測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)系統(tǒng)又稱在線檢測(cè)系統(tǒng)，通過實(shí)時(shí)監(jiān)測(cè)并分析網(wǎng)絡(luò)流量、主機(jī)審計(jì)記錄及各種日志信息發(fā)現(xiàn)入侵行為。在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析，具備反應(yīng)迅速、及時(shí)保護(hù)系統(tǒng)的特點(diǎn)，但系統(tǒng)規(guī)模較大時(shí)，實(shí)時(shí)性難以得到實(shí)際保證。非實(shí)時(shí)檢測(cè)系統(tǒng)又稱離線檢測(cè)系統(tǒng)，對(duì)一定時(shí)間內(nèi)的數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)入侵行為。常被用于入侵行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析，通過不斷完善規(guī)則庫、知識(shí)庫、特征庫，以提高入侵檢測(cè)的準(zhǔn)確率。具備成本低，可分析大量事件、分析長期情況等特點(diǎn)，但無法提供及時(shí)保護(hù)。入侵檢測(cè)分類-檢測(cè)結(jié)果二分類入侵檢測(cè)多分類入侵檢測(cè)二分類入侵檢測(cè)系統(tǒng)只提供是否發(fā)生入侵攻擊的結(jié)論性判斷，不斷提供更多可讀的、有意義的信息，只輸出有無入侵發(fā)生，而不報(bào)告具體的入侵行為。多分類入侵檢測(cè)系統(tǒng)能夠分辨出當(dāng)前系統(tǒng)遭受的入侵攻擊的具體類型，如果認(rèn)為是非正常行為，輸出的不僅是有無入侵發(fā)生，而且會(huì)報(bào)告具體的入侵類型。入侵檢測(cè)分類-響應(yīng)方式主動(dòng)入侵檢測(cè)系統(tǒng)被動(dòng)入侵檢測(cè)系統(tǒng)主動(dòng)入侵檢測(cè)系統(tǒng)檢測(cè)出入侵行為后，對(duì)目標(biāo)系統(tǒng)中漏洞采取修補(bǔ)、強(qiáng)制可疑用戶下線、關(guān)閉相關(guān)服務(wù)等措施。主動(dòng)響應(yīng)措施包括：記錄事件日志修正系統(tǒng)設(shè)計(jì)誘騙系統(tǒng)獲取入侵信息禁用特定端口或服務(wù)隔離入侵IP地址被動(dòng)入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵行為后，只產(chǎn)生報(bào)警信息通知管理員，之后由管理員做出響應(yīng)動(dòng)作。被動(dòng)響應(yīng)只起到為用戶提供通知或告警的作用，主要由用戶自己決定用什么方式或措施應(yīng)用這種入侵行為。入侵檢測(cè)分類-分布方式集中式入侵檢測(cè)系統(tǒng)分布式入侵檢測(cè)系統(tǒng)集中式入侵檢測(cè)系統(tǒng)的各個(gè)模塊都集中在一臺(tái)主機(jī)上運(yùn)行，一般將網(wǎng)絡(luò)中的數(shù)據(jù)包作為數(shù)據(jù)源，它按一定規(guī)則從網(wǎng)絡(luò)中獲取與攻擊安全性相關(guān)的數(shù)據(jù)包，然后調(diào)用分析引擎分析，最后輸出分析結(jié)果。集中式入侵檢測(cè)適用于簡(jiǎn)單網(wǎng)絡(luò)環(huán)境，入侵檢測(cè)精度較差。分布式入侵檢測(cè)系統(tǒng)各個(gè)模塊分布在網(wǎng)絡(luò)中不同計(jì)算機(jī)上，各模塊分別完成數(shù)據(jù)收集、數(shù)據(jù)分析、控制輸出分析結(jié)果的功能。分布式入侵檢測(cè)系統(tǒng)具備減少主機(jī)壓力、可擴(kuò)展性強(qiáng)、解決IDS單點(diǎn)故障的優(yōu)點(diǎn)。通用入侵檢測(cè)模型（Denning模型）活動(dòng)簡(jiǎn)檔異常記錄規(guī)則集處理引擎主體活動(dòng)計(jì)時(shí)器規(guī)則設(shè)計(jì)與更新建立提取規(guī)則學(xué)習(xí)審計(jì)記錄新活動(dòng)簡(jiǎn)檔歷史簡(jiǎn)檔更新最早的入侵檢測(cè)模型，Denning于1987年提出，雖然與具體系統(tǒng)和具體輸入無關(guān)，但是對(duì)此后的大部分實(shí)用系統(tǒng)都有很大的借鑒價(jià)值。層次化入侵檢測(cè)模型（IDM）攻擊特征庫網(wǎng)絡(luò)數(shù)據(jù)源安全策略庫主機(jī)數(shù)據(jù)源攻擊信息入侵信息攻擊行為分析入侵行為分析檢測(cè)出已知入侵檢測(cè)未已知入侵攻擊特征提起入侵特征提起安全狀態(tài)層（SecurityState）威脅層（Threat）上下文層（Context）主體層（Subject）事件層（Event）數(shù)據(jù)層（Data）層次化入侵檢測(cè)系統(tǒng)基于Denning模型設(shè)計(jì)而來，融入異常檢測(cè)和誤用檢測(cè)兩種檢測(cè)策略。該模型講入侵檢測(cè)動(dòng)態(tài)分為攻擊檢測(cè)和入侵檢測(cè)，利用誤用檢測(cè)策略識(shí)別已知攻擊（攻擊檢測(cè)），利用異常檢測(cè)識(shí)別未知入侵（入侵檢測(cè)）。層次化入侵檢測(cè)模型將入侵檢測(cè)系統(tǒng)分為6層，從低到高依次為：數(shù)據(jù)層、事件層、主體層、上下文層、威脅層和安全狀態(tài)層。管理式入侵檢測(cè)模型（SNMP-IDSM）主機(jī)AIDSA主機(jī)BIDSB從IDS事件MIB中進(jìn)行SNMPGet操作端口掃描事件與用戶異常行為事件向腳本MIB實(shí)施SNMPSet操作SNMP通知SNMP-IDSM以SNMP為公共語言實(shí)現(xiàn)IDS之間的消息交換和協(xié)同檢測(cè)。通用入侵檢測(cè)框架（CIDF）事件產(chǎn)生器事件分析器響應(yīng)單元事件數(shù)據(jù)庫通用入侵檢測(cè)對(duì)象通用入侵檢測(cè)對(duì)象通用入侵檢測(cè)對(duì)象通用入侵檢測(cè)對(duì)象通用入侵檢測(cè)對(duì)象響應(yīng)通用入侵檢測(cè)框架（CommonIntrusionDetectionFramework,CIDF）定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議，符合CIDF規(guī)范的IDS和安全設(shè)備可以共享檢測(cè)信息，進(jìn)行協(xié)同工作。并集成了各種安全設(shè)備使之協(xié)同工作，是分布式入侵檢測(cè)的基礎(chǔ)。體系結(jié)構(gòu)（TheCommonIntrusionDetectionFrameworkArchitecture,CIDFA），提出了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型。規(guī)范語言（ACommonIntrusionSpecificationLanguage,CISL），定義了一個(gè)用來描述各種檢測(cè)信息的標(biāo)準(zhǔn)語言。內(nèi)部通訊（CommunicationintheCommonIntrusionDetectionFramework），定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議。程序接口（(CommonIntrusionDetectionFrameworkAPIs,CIDFAPIs），提供一整套標(biāo)準(zhǔn)的應(yīng)用程序接口（API函數(shù)）。網(wǎng)絡(luò)中無防火墻IDS

Sensor過濾HubIDS控制臺(tái)管理員InternetPC服務(wù)器DNSMail黑客網(wǎng)絡(luò)中考慮安全防護(hù)方案時(shí)，首先考慮的是在網(wǎng)絡(luò)入口處安裝防火墻進(jìn)行防護(hù)，但個(gè)別特殊情況下無法部署防火墻，此時(shí)入侵檢測(cè)系統(tǒng)通常安裝在入口交換機(jī)/路由器上，監(jiān)測(cè)所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包并進(jìn)行相應(yīng)的保護(hù)。網(wǎng)絡(luò)中有防火墻IDS

Sensor過濾HubIDS控制臺(tái)管理員Internet黑客管理員DNSMail交換機(jī)防火墻路由器PCPCPC服務(wù)器DMZ區(qū)域內(nèi)網(wǎng)IDS

Sensor防火墻系統(tǒng)具有防御外部網(wǎng)絡(luò)攻擊的作用，網(wǎng)絡(luò)中部署防火墻時(shí)和入侵檢測(cè)系統(tǒng)相互配合可以進(jìn)行更有效安全管理，此時(shí)通常將IDS系統(tǒng)部署于防火墻之后，作為防火墻防御之后的二次防御。在某些情況下，還需要考慮外部網(wǎng)絡(luò)針對(duì)防火墻的攻擊，此時(shí)會(huì)在防水墻外部部署入侵檢測(cè)系統(tǒng)，隨著防火墻技術(shù)的發(fā)展，此種場(chǎng)景已被融入到下一代防火墻NGFW中。網(wǎng)神SecIDS3600入侵檢測(cè)系統(tǒng)低端中低端中端中高端高端D1500系列D3000系列D5000系列D9000系列D10000系列SecIDS-登錄設(shè)備在PC機(jī)打開瀏覽器，輸入入侵檢測(cè)系統(tǒng)Web管理口地址：，在彈出的登錄對(duì)話框中輸入用戶名和密碼（默認(rèn)用戶名：admin，默認(rèn)密碼：!1fw@2soc#3vpn），點(diǎn)擊<登錄>按鈕。SecIDS-配置策略向?qū)в脩暨M(jìn)入Web管理頁面后，在導(dǎo)航欄區(qū)域點(diǎn)擊“策略”>“配置向?qū)А?，進(jìn)入配置向?qū)ы撁?。SecIDS-配置向?qū)?接口配置在配置向?qū)ы撁?，用戶點(diǎn)擊<下一步>按鈕，配置安全策略名稱和開啟接口IDS功能。SecIDS-配置向?qū)?地址配置在配置向?qū)ы撁妫脩酎c(diǎn)擊<下一步>按鈕，配置安全策略匹配條件“地址區(qū)域流”,建議配置全0地址，即對(duì)所有地址進(jìn)行安全檢測(cè)SecIDS-配置向?qū)?特征庫選項(xiàng)在配置向?qū)ы撁妫脩酎c(diǎn)擊<下一步>按鈕，配置安全策略使用的模板，建議使用level5模板，該模板包含特征庫的全部特征SecIDS-配置向?qū)?日志可視化配置在配置向?qū)ы撁?，用戶點(diǎn)擊<下一步>按鈕，可視這個(gè)配置是可選的，用戶可以根據(jù)自己的情況選擇是否配置。如果不配置，直接點(diǎn)擊<下一步>按鈕。SecIDS-配置向?qū)?配置概覽配置完成后，最后點(diǎn)擊<確定>按鈕，結(jié)束配置。入侵檢測(cè)過程-信息收集信息收集信息分析告警與響應(yīng)入侵檢測(cè)的第一步是信息收集，收集的信息包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及用戶活動(dòng)的狀態(tài)和行為等。信息收集的范圍越廣，入侵檢測(cè)系統(tǒng)的檢測(cè)范圍越大。入侵檢測(cè)很大程度上依賴于所收集信息的可靠性和正確性，這需要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止因軟件篡改而收集到錯(cuò)誤信息。信息收集-基于主機(jī)數(shù)據(jù)源系統(tǒng)的運(yùn)行狀態(tài)信息系統(tǒng)的記賬信息C2級(jí)安全審計(jì)信息系統(tǒng)日志所有操作系統(tǒng)都提供一些系統(tǒng)命令獲取系統(tǒng)的運(yùn)行情況。這些命令直接檢查系統(tǒng)內(nèi)核的存儲(chǔ)區(qū)，所以他們能提供相當(dāng)準(zhǔn)確的系統(tǒng)事件的關(guān)鍵信息。記賬是獲取系統(tǒng)行為信息最古老、普遍的方法。網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)中都使用了記賬系統(tǒng)，用于提供系統(tǒng)用戶使用共享資源的信息。記賬系統(tǒng)的廣泛應(yīng)用使得可以采用它作為入侵檢測(cè)系統(tǒng)審計(jì)數(shù)據(jù)源。Syslog是操作系統(tǒng)為系統(tǒng)應(yīng)用提供的一項(xiàng)審計(jì)服務(wù)，這項(xiàng)服務(wù)在系統(tǒng)應(yīng)用提供的文本形式的信息前面添加應(yīng)用運(yùn)行的系統(tǒng)名和時(shí)間戳信息，然后進(jìn)行本地或遠(yuǎn)程歸檔處理。但只有少數(shù)入侵檢測(cè)系統(tǒng)采用Syslog守護(hù)程序提供的信息。系統(tǒng)的安全審計(jì)記錄了系統(tǒng)中所有潛在的安全相關(guān)事件的信息。UNIX的審計(jì)系統(tǒng)中記錄了用戶啟動(dòng)的所有進(jìn)程執(zhí)行的系統(tǒng)調(diào)用序列。UNIX的安全記錄中包含了大量的關(guān)于事件的信息：用于識(shí)別用戶的詳細(xì)信息、系統(tǒng)調(diào)用執(zhí)行的參數(shù)、系統(tǒng)程序執(zhí)行的返回值和錯(cuò)誤碼等。主機(jī)數(shù)據(jù)源信息收集-基于網(wǎng)絡(luò)數(shù)據(jù)源簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）的管理信息庫（MIB）是一個(gè)用于網(wǎng)絡(luò)管理的信息庫，其中存儲(chǔ)有網(wǎng)絡(luò)配置信息和設(shè)備性能數(shù)據(jù)網(wǎng)神SecIDS3600系統(tǒng)中的管理對(duì)象在SNMP報(bào)文中用管理變量描述，SNMP用層次結(jié)構(gòu)命名方案識(shí)別對(duì)象，層次結(jié)構(gòu)的各節(jié)點(diǎn)表示管理對(duì)象。SNMP信息網(wǎng)絡(luò)通信包網(wǎng)絡(luò)嗅探器是收集網(wǎng)絡(luò)中發(fā)生事件信息的有效方法，常被攻擊者用來截取網(wǎng)絡(luò)數(shù)據(jù)包，目前多數(shù)計(jì)算機(jī)系統(tǒng)的攻擊行為是通過網(wǎng)絡(luò)進(jìn)行的。將網(wǎng)絡(luò)通信包作為入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)源，可解決如下問題：檢測(cè)只能通過分析網(wǎng)絡(luò)業(yè)務(wù)才能檢測(cè)出的網(wǎng)絡(luò)攻擊，如DDoS。不存在基于主機(jī)入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)環(huán)境下遇到的審計(jì)記錄的格式異構(gòu)性問題。使用一個(gè)單獨(dú)的機(jī)器進(jìn)行信息采集，這種數(shù)據(jù)收集、分析工具不影響整個(gè)網(wǎng)絡(luò)的處理性能。通過簽名分析報(bào)文的頭部信息，檢測(cè)針對(duì)主機(jī)的攻擊。信息收集-其他數(shù)據(jù)源應(yīng)用程序日志文件系統(tǒng)應(yīng)用服務(wù)器化的趨勢(shì)，使得應(yīng)用程序的日志文件在入侵檢測(cè)系統(tǒng)的分析數(shù)據(jù)源中具有重要的地位，與系統(tǒng)審計(jì)記錄和網(wǎng)絡(luò)通信包相比，其具有精確性、完整性、性能強(qiáng)等優(yōu)點(diǎn)。但其也具有如下缺點(diǎn)：只有當(dāng)系統(tǒng)能夠正常應(yīng)用程序日志文件時(shí)，才能檢測(cè)出攻擊行為；無法檢測(cè)出針對(duì)系統(tǒng)軟件底層協(xié)議的安全問題。其他入侵檢測(cè)系統(tǒng)的報(bào)警信息基于網(wǎng)絡(luò)、分布式環(huán)境的檢測(cè)系統(tǒng)一般采用分層的結(jié)構(gòu)，由許多局部入侵檢測(cè)系統(tǒng)進(jìn)行局部檢測(cè)，然后由上層檢測(cè)系統(tǒng)進(jìn)行匯總，其他局部入侵檢測(cè)系統(tǒng)的結(jié)果也可作為參考，彌補(bǔ)不同檢測(cè)機(jī)制的入侵檢測(cè)系統(tǒng)的先天不足。其他設(shè)備交換機(jī)、路由器、網(wǎng)管系統(tǒng)等網(wǎng)絡(luò)設(shè)備都具備較為完善的日志信息，這些信息包含了關(guān)于設(shè)備的性能、使用統(tǒng)計(jì)資料的信息。防火墻、安全掃描系統(tǒng)、訪問控制系統(tǒng)等安全產(chǎn)品都能產(chǎn)生其自身的活動(dòng)日志，這些日志包含安全相關(guān)信息，可作為入侵檢測(cè)系統(tǒng)的信息源。入侵檢測(cè)過程-信息分析信息收集信息分析告警與響應(yīng)入侵檢測(cè)系統(tǒng)從信息源中收集到信息量極大，而這絕大部分是正常信息，少部分信息代表著入侵行為的發(fā)生，因此信息分析是