網(wǎng)絡(luò)與信息安全入侵檢測(cè)系統(tǒng)

1、第11章 入侵檢測(cè)系統(tǒng),第11章 入侵檢測(cè)技術(shù),11.1入侵檢測(cè)技術(shù)概述 1.入侵檢測(cè)的概念 通過從計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭到入侵的跡象，并依據(jù)既定的策略采取一定的措施。 三部分內(nèi)容： 信息收集； 信息分析； 響應(yīng)。 是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性,2.入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu),IETF（Internet工程任務(wù)組）將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件： 事

2、件產(chǎn)生器（Event generators） 事件分析器（Event analyzers） 響應(yīng)單元（Response units ） 事件數(shù)據(jù)庫（Event databases,事件產(chǎn)生器:從整個(gè)計(jì)算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。 事件分析器:分析得到的事件數(shù)據(jù)，并產(chǎn)生分析結(jié)果。 響應(yīng)單元:對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等有效反應(yīng)，當(dāng)然也可以只是報(bào)警。 事件數(shù)據(jù)庫:存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導(dǎo)事件的分析及反應(yīng)，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件,3.系統(tǒng)模型,模型由6個(gè)主要部分組成,主體：?jiǎn)?dòng)在目標(biāo)系統(tǒng)上活

3、動(dòng)的實(shí)體，如用戶，也可能是攻擊者； 對(duì)象：系統(tǒng)資源，如系統(tǒng)中存儲(chǔ)的文件、敏感數(shù)據(jù)、重要設(shè)備等； 審計(jì)記錄：由對(duì)象、動(dòng)作、異常條件、資源使用狀況、時(shí)間戳構(gòu)成的6元組。 活動(dòng)簡(jiǎn)檔：用于保存主體正常活動(dòng)的信息，具體實(shí)現(xiàn)依賴于檢測(cè)方法，在統(tǒng)計(jì)方法中可以從事件數(shù)量、頻度、資源消耗等方面度量，通過使用方差、馬爾可夫模型等統(tǒng)計(jì)方法實(shí)現(xiàn)。 異常記錄：由事件、時(shí)間戳、活動(dòng)簡(jiǎn)檔組成，用于表示異常事件的發(fā)生情況 規(guī)則集處理引擎：主要檢查入侵是否發(fā)生，并結(jié)合活動(dòng)簡(jiǎn)檔，用專家系統(tǒng)或統(tǒng)計(jì)方法等分析接收到的審計(jì)記錄，調(diào)整內(nèi)部規(guī)則或統(tǒng)計(jì)信息，在判斷有入侵發(fā)生時(shí)采用相應(yīng)的措施,11.2入侵檢測(cè)系統(tǒng)的分析方式,1.技術(shù)分類 入侵

4、檢測(cè)系統(tǒng)按采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。 (1)特征檢測(cè) 特征檢測(cè)(Signature-based detection)又稱Misuse detection，這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對(duì)新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來,2)異常檢測(cè) 異常檢測(cè)(Anomaly detection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)

5、可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為,2.常用檢測(cè)方法,入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)。 (1)特征檢測(cè) 特征檢測(cè)對(duì)已知的攻擊或入侵的方式做出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。 該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無能為力。 (2)統(tǒng)計(jì)檢測(cè) 統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括

6、：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等,常用的入侵檢測(cè)5種統(tǒng)計(jì)模型： 操作模型，該模型假設(shè)異?？赏ㄟ^測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到； 方差，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過置信區(qū)間的范圍時(shí)表明有可能是異常； 多元模型，操作模型的擴(kuò)展，通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)； 馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件； 時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵,統(tǒng)計(jì)方法的

7、最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測(cè)系統(tǒng),3)專家系統(tǒng) 用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入

8、侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫的完備性,11.3入侵檢測(cè)系統(tǒng)分類,基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施,1) 主機(jī)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)： 主機(jī)入侵檢測(cè)系統(tǒng)對(duì)分析“可能的攻擊行為”非常有用，通常能夠提供詳盡的相關(guān)信息。 主機(jī)入侵檢測(cè)系統(tǒng)比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低，因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多。 主機(jī)入侵檢測(cè)系統(tǒng)可部署在那些不需要廣泛的入侵檢測(cè)、傳感器與控

9、制臺(tái)之間的通信帶寬不足的情況下。主機(jī)入侵檢測(cè)系統(tǒng)在不使用諸如“停止服務(wù)” “注銷用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少,2)主機(jī)入侵檢測(cè)系統(tǒng)的弱點(diǎn)： 主機(jī)入侵檢測(cè)系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上。舉例來說，當(dāng)一個(gè)數(shù)據(jù)庫服務(wù)器要保護(hù)時(shí)，就要在服務(wù)器上安裝入侵檢測(cè)系統(tǒng)。這會(huì)降低應(yīng)用系統(tǒng)的效率。此外，它也會(huì)帶來一些額外的安全問題，安裝了主機(jī)入侵檢測(cè)系統(tǒng)后，將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。 主機(jī)入侵檢測(cè)系統(tǒng)的另一個(gè)問題是它依賴于服務(wù)器固有的日志與監(jiān)視能力。如果服務(wù)器沒有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。 全面部署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大，企業(yè)中很

10、難將所有主機(jī)用主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)。那些未安裝主機(jī)入侵檢測(cè)系統(tǒng)的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。 主機(jī)入侵檢測(cè)系統(tǒng)除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加,2. 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品（NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的,1) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)那些來自

11、網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過授權(quán)的非法訪問。 一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/O與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備方式工作，它不會(huì)成為系統(tǒng)中的關(guān)鍵路徑。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。部署一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)比主機(jī)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)少得多。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)近年內(nèi)有向?qū)ｉT的設(shè)備發(fā)展的趨勢(shì)，安裝這樣的一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)非常方便，只需將定制的設(shè)備接上電源，做很少一些配置，將其連到網(wǎng)絡(luò)上即可,2)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的弱點(diǎn) 網(wǎng)絡(luò)入

12、侵檢測(cè)系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使部署整個(gè)系統(tǒng)的成本大大增加。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè),2)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的弱點(diǎn) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來減少回傳的數(shù)據(jù)量，對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)，而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的

13、傳感器協(xié)同工作能力較弱。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)處理加密的會(huì)話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個(gè)問題會(huì)越來越突出,3. 基于內(nèi)核的入侵檢測(cè)系統(tǒng),基于內(nèi)核的入侵檢測(cè)是一種相當(dāng)巧妙的新型的Linux入侵檢測(cè)系統(tǒng)?，F(xiàn)在有兩種基于LINUX的不同的基于內(nèi)核的IDS，它們是OPENWALL和LIDS。它們?cè)诜乐咕彌_區(qū)溢出方面有了很大的發(fā)展，并增強(qiáng)了文件系統(tǒng)的保護(hù)，通過攔截信號(hào)使入侵系統(tǒng)變得更加困難。現(xiàn)在最主要的基于內(nèi)核的入侵檢測(cè)系統(tǒng)叫做LIDS。LIDS是一種基于Linux內(nèi)核的入侵檢測(cè)和預(yù)防系統(tǒng)。LIDS的保護(hù)目的是防止超級(jí)用戶root的篡改系統(tǒng)重要部分的。LIDS主要的特

14、點(diǎn)是提高系統(tǒng)的安全性，防止直接的端口連接或者是存儲(chǔ)器連接，防止原始磁碟的使用，同時(shí)還要保護(hù)系統(tǒng)日志文件。LIDS當(dāng)然也會(huì)適當(dāng)制止一些特定的系統(tǒng)操作，譬如：安裝sniffer、修改防火墻的配置文件,4.兩種入侵檢測(cè)系統(tǒng)的結(jié)合運(yùn)用,基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺陷是互補(bǔ)的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況,5.分布式入侵檢測(cè)系統(tǒng),隨著對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施依賴性的日益

15、增強(qiáng)，人們?cè)絹碓狡惹械匦枰ＷC這些設(shè)施的安全性和抗攻擊性。對(duì)于保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施而言，需要某種機(jī)制實(shí)時(shí)地網(wǎng)絡(luò)操作中那些可能指示異常事或惡意行為的活動(dòng)模式，并且通過自動(dòng)反應(yīng)措施來進(jìn)行響應(yīng)。另外，這種機(jī)制還應(yīng)該支持對(duì)事件數(shù)據(jù)的收集和相關(guān)處理過程，以便追蹤那些應(yīng)該為惡意行為負(fù)責(zé)的個(gè)體。分布式的入侵檢測(cè)架構(gòu)就是適應(yīng)此種需求而迅速發(fā)展起來的,分布式入侵檢測(cè)系統(tǒng)（Distributed Intrusion Detection System）一般指的是部署于大規(guī)模網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)系統(tǒng)，任務(wù)是用來監(jiān)視整個(gè)網(wǎng)絡(luò)環(huán)境中的安全狀態(tài)，包括網(wǎng)絡(luò)設(shè)施本身和其中包含的主要系統(tǒng)。 分布式入侵檢測(cè)系統(tǒng)與簡(jiǎn)單的基于主機(jī)的入侵檢

16、測(cè)系統(tǒng)不同的，它一般由多個(gè)部件組成，分布在網(wǎng)絡(luò)的各個(gè)部分，完成相應(yīng)的功能，如進(jìn)行數(shù)據(jù)采集、分析等。通過中心的控制部件進(jìn)行數(shù)據(jù)匯總、分析、產(chǎn)生入侵報(bào)警等，有的系統(tǒng)的中心控制部件可以監(jiān)督和控制其他部件的活動(dòng)，修改其配置等。 近些年來，人工智能領(lǐng)域的智能代理技術(shù)越來越熱，也提出了不少基于智能代理技術(shù)的分布式入侵檢測(cè)系統(tǒng)等，如基于自治代理技術(shù)的AAFID，還有基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng)等,11.4 入侵檢測(cè)技術(shù)發(fā)展方向,1當(dāng)前技術(shù)發(fā)展 無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有了“進(jìn)步與發(fā)展”。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個(gè)方面： (1) 入侵或攻擊的綜合化與復(fù)雜

17、化 入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò)防范技術(shù)的多重化，攻擊的難度增加，使得入侵者在實(shí)施入侵或攻擊時(shí)往往同時(shí)采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實(shí)施的初期掩蓋攻擊或入侵的真實(shí)目的。 (2) 入侵主體對(duì)象的間接化 即實(shí)施入侵與攻擊的主體的隱蔽化。通過一定的技術(shù)，可掩蓋攻擊主體的源地址及主機(jī)位置。即使用了隱蔽技術(shù)后，對(duì)于被攻擊對(duì)象攻擊的主體是無法直接確定的,3) 入侵或攻擊的規(guī)模擴(kuò)大 對(duì)于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對(duì)于某公司或一個(gè)網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭(zhēng)對(duì)電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越

18、大，隨之產(chǎn)生、發(fā)展、逐步升級(jí)到電子戰(zhàn)與信息戰(zhàn)。對(duì)于信息戰(zhàn)，無論其規(guī)模與技術(shù)都與一般意義上的計(jì)算機(jī)網(wǎng)絡(luò)的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。 (4) 入侵或攻擊技術(shù)的分布化 以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務(wù)（DDoS）在很短時(shí)間內(nèi)可造成被攻擊主機(jī)的癱瘓。且此類分布式攻擊的單機(jī)信息模式與正常通信無差異，所以往往在攻擊發(fā)動(dòng)的初期不易被確認(rèn)。分布式攻擊是近期最常用的攻擊手段,5) 攻擊對(duì)象的轉(zhuǎn)移 入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢(shì)?，F(xiàn)已有專門針對(duì)IDS作攻擊的報(bào)道。攻擊者詳細(xì)地分析了IDS的審計(jì)方式、特征描述、通信模式找出IDS的弱點(diǎn)，然后加以攻擊,2. 展望,分布式入侵檢測(cè) 第一層含義，即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法；第二層含義即使用分布式的方法來檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。 智能化入侵檢測(cè) 即使用智能化的方法與手段來進(jìn)行入侵檢測(cè)。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方