網(wǎng)絡(luò)安全-入侵檢測(cè)培訓(xùn)課程課件

網(wǎng)絡(luò)安全入侵檢測(cè)網(wǎng)絡(luò)安全入侵檢測(cè)1網(wǎng)絡(luò)安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制，阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸網(wǎng)絡(luò)安全的構(gòu)成物理安全性2安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪問控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析安全的通信協(xié)議VPN防火墻存儲(chǔ)備份安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安3主要的傳統(tǒng)安全技術(shù)加密消息摘要、數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪問控制安全協(xié)議：IPSec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN內(nèi)容控制:防病毒、內(nèi)容過濾等“預(yù)防（prevention）”和“防護(hù)（protection）”的思想主要的傳統(tǒng)安全技術(shù)加密“預(yù)防（prevention）”和“防4傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護(hù)在復(fù)雜系統(tǒng)中，這些策略是不充分的這些措施都是以減慢交易為代價(jià)的大部分損失是由內(nèi)部引起的82%的損失是內(nèi)部威脅造成的傳統(tǒng)安全技術(shù)難于防內(nèi)傳統(tǒng)的安全技術(shù)基本上是一種被動(dòng)的防護(hù)，而如今的攻擊和入侵要求我們主動(dòng)地去檢測(cè)、發(fā)現(xiàn)和排除安全隱患傳統(tǒng)安全措施不能滿足這一點(diǎn)傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪問控制和數(shù)據(jù)加5入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述6入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）企圖進(jìn)入或?yàn)E用計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的行為可能來自于網(wǎng)絡(luò)內(nèi)部的合法用戶入侵檢測(cè)（IntrusionDetection）對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）定義：進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)功能：監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）7為什么需要入侵檢測(cè)系統(tǒng)入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器入侵檢測(cè)系統(tǒng)IDS通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象為什么需要入侵檢測(cè)系統(tǒng)入侵很容易8入侵檢測(cè)的任務(wù)檢測(cè)來自內(nèi)部的攻擊事件和越權(quán)訪問85％以上的攻擊事件來自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測(cè)系統(tǒng)作為傳統(tǒng)安全工具的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開放的服務(wù)入侵通過事先發(fā)現(xiàn)風(fēng)險(xiǎn)來阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員檢測(cè)其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性入侵檢測(cè)的任務(wù)檢測(cè)來自內(nèi)部的攻擊事件和越權(quán)訪問9入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectionSystems)入侵檢測(cè)系統(tǒng)Promiscuous混雜模式，即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地Signatures特征，即攻擊的特征Alerts警告Anomaly異常Console控制臺(tái)Sensor傳感器，即檢測(cè)引擎入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectio10入侵檢測(cè)系統(tǒng)分類-1按照數(shù)據(jù)來源：基于主機(jī)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行入侵檢測(cè)系統(tǒng)分類-1按照數(shù)據(jù)來源：11入侵檢測(cè)系統(tǒng)分類-2按系統(tǒng)各模塊的運(yùn)行方式集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行分布式系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上根據(jù)時(shí)效性脫機(jī)分析行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析入侵檢測(cè)系統(tǒng)分類-2按系統(tǒng)各模塊的運(yùn)行方式12基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-BasedIDS(HIDS)系統(tǒng)安裝在主機(jī)上面，對(duì)本主機(jī)進(jìn)行安全檢測(cè)優(yōu)點(diǎn)審計(jì)內(nèi)容全面，保護(hù)更加周密視野集中適用于加密及交換環(huán)境易于用戶自定義對(duì)網(wǎng)絡(luò)流量不敏感缺點(diǎn)額外產(chǎn)生的安全問題HIDS依賴性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過大不能監(jiān)控網(wǎng)絡(luò)上的情況基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-B13基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Network-BasedIDS(NIDS)系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)優(yōu)點(diǎn)檢測(cè)范圍廣，提供對(duì)網(wǎng)絡(luò)通用的保護(hù)無(wú)需改變主機(jī)配置和性能，安裝方便獨(dú)立性，操作系統(tǒng)無(wú)關(guān)性偵測(cè)速度快隱蔽性好較少的監(jiān)測(cè)器，占資源少缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Networ14IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件信息收集信息分析結(jié)果處理IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件15信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來的信息有可能看不出疑點(diǎn)入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、16信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果17結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警……結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。18IDS的組成檢測(cè)引擎控制中心HUB檢測(cè)引擎MonitoredServers控制中心IDS的組成檢測(cè)引擎HUB檢測(cè)引擎MonitoredSer19檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)20檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部署四檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部21網(wǎng)絡(luò)入侵技術(shù)網(wǎng)絡(luò)入侵技術(shù)22入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息，使系統(tǒng)不可靠或不能使用的行為破壞計(jì)算機(jī)或網(wǎng)絡(luò)資源的完整性、機(jī)密性、可用性、可控性入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)入侵者可以被分為兩類:外部的:網(wǎng)絡(luò)外面的侵入者內(nèi)部的:合法使用網(wǎng)絡(luò)的侵入者，包括濫用權(quán)力的人和模仿更改權(quán)力的人(比如使用別人的終端)。80%的安全問題同內(nèi)部人有關(guān)入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息23侵入系統(tǒng)的主要途徑物理侵入侵入者對(duì)主機(jī)有物理進(jìn)入權(quán)限方法如移走磁盤并在另外的機(jī)器讀/寫系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個(gè)知名漏洞獲得系統(tǒng)管理員權(quán)限的機(jī)會(huì)遠(yuǎn)程侵入入侵者通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)，侵入者從無(wú)特權(quán)開始入檢測(cè)系統(tǒng)主要關(guān)心遠(yuǎn)程侵入侵入系統(tǒng)的主要途徑物理侵入24網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果清除日志網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集25目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件：SATAN，流光，Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描26自身隱藏典型的黑客使用如下技術(shù)來隱藏IP地址通過telnet在以前攻克的Unix主機(jī)上跳轉(zhuǎn)通過終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理服務(wù)器更高級(jí)的黑客，精通利用電話交換侵入主機(jī)自身隱藏典型的黑客使用如下技術(shù)來隱藏IP地址27利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI/IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞28穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門BO，冰河添加系統(tǒng)賬號(hào)添加管理員賬號(hào)利用LKMLoadableKernelModules動(dòng)態(tài)加載無(wú)需重新編譯內(nèi)核利用信任主機(jī)控制了主機(jī)以后，可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理服務(wù)器，可以利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門29清除日志清除入侵日志W(wǎng)indows清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫(kù)連接日志Unix登陸信息/var/log/home/user/.bash_historylastlog使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵清除日志清除入侵日志30網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號(hào)獲取超級(jí)用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶的口令，從而發(fā)現(xiàn)突破口。網(wǎng)絡(luò)入侵步驟總覽選中攻獲取普通擦除入安裝后門獲取超級(jí)攻擊其它31IDS工作原理IDS工作原理32入侵檢測(cè)引擎工作流程-1入侵檢測(cè)引擎工作流程-133入侵檢測(cè)引擎工作流程-2監(jiān)聽部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過濾一些數(shù)據(jù)包協(xié)議分析IP，IPX，PPP，......數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall入侵檢測(cè)引擎工作流程-2監(jiān)聽部分34入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetection）誤用檢測(cè)（MisuseDetection）完整性分析入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetectio35異常檢測(cè)基本原理正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況統(tǒng)計(jì)模型優(yōu)點(diǎn)可以檢測(cè)到未知的入侵可以檢測(cè)冒用他人帳號(hào)的行為具有自適應(yīng)，自學(xué)習(xí)功能不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來逃避檢測(cè)合法用戶正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難異常檢測(cè)基本原理36誤用檢測(cè)基本原理提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶行為特征模式匹配優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開銷小準(zhǔn)確率高效率高缺點(diǎn)被動(dòng)只能檢測(cè)出已知攻擊新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴于硬件平臺(tái)、操作系統(tǒng)和系統(tǒng)中運(yùn)行的應(yīng)用程序誤用檢測(cè)基本原理37完整性分析基本原理通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞優(yōu)點(diǎn)不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)完整性分析基本原理38入侵檢測(cè)具體方法-1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測(cè)到的信息有效地加以處理作出攻擊可能性的判斷基于專家系統(tǒng)的入侵檢測(cè)技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)，并應(yīng)用于入侵檢測(cè)基于模型推理的入侵檢測(cè)技術(shù)為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本入侵檢測(cè)具體方法-1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)39入侵檢測(cè)具體方法-2基于免疫原理的入侵檢測(cè)技術(shù)基于遺傳算法的入侵檢測(cè)技術(shù)基于基于代理檢測(cè)的入侵檢測(cè)技術(shù)基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)入侵檢測(cè)具體方法-2基于免疫原理的入侵檢測(cè)技術(shù)40入侵檢測(cè)響應(yīng)機(jī)制彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap入侵檢測(cè)響應(yīng)機(jī)制彈出窗口報(bào)警41入侵檢測(cè)標(biāo)準(zhǔn)化入侵檢測(cè)標(biāo)準(zhǔn)化42IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特征各不相同，入侵的活動(dòng)變得復(fù)雜而又難以捉摸某些入侵的活動(dòng)靠單一IDS不能檢測(cè)出來，如分布式攻擊網(wǎng)絡(luò)管理員常因缺少證據(jù)而無(wú)法追蹤入侵者，入侵者仍然可以進(jìn)行非法的活動(dòng)不同的IDS之間沒有協(xié)作，結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動(dòng)目前網(wǎng)絡(luò)的安全也要求IDS能夠與訪問控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類型、特43CIDFTheCommonIntrusionDetectionFramework,CIDFCIDF是一套規(guī)范，它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議符合CIDF規(guī)范的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)CIDFTheCommonIntrusionDetec44CIDF規(guī)格文檔體系結(jié)構(gòu)闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型規(guī)范語(yǔ)言定義了一個(gè)用來描述各種檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言內(nèi)部通訊定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口CIDF規(guī)格文檔體系結(jié)構(gòu)45CIDF的體系結(jié)構(gòu)示意圖CIDF的體系結(jié)構(gòu)示意圖46CIDF的體系結(jié)構(gòu)事件產(chǎn)生器信息收集，即從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件事件分析器信息分析，即分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果響應(yīng)單元結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警……事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件CIDF的體系結(jié)構(gòu)事件產(chǎn)生器47演講完畢，謝謝觀看！演講完畢，謝謝觀看！48網(wǎng)絡(luò)安全入侵檢測(cè)網(wǎng)絡(luò)安全入侵檢測(cè)49網(wǎng)絡(luò)安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制，阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸網(wǎng)絡(luò)安全的構(gòu)成物理安全性50安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪問控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析安全的通信協(xié)議VPN防火墻存儲(chǔ)備份安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安51主要的傳統(tǒng)安全技術(shù)加密消息摘要、數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪問控制安全協(xié)議：IPSec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN內(nèi)容控制:防病毒、內(nèi)容過濾等“預(yù)防（prevention）”和“防護(hù)（protection）”的思想主要的傳統(tǒng)安全技術(shù)加密“預(yù)防（prevention）”和“防52傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪問控制和數(shù)據(jù)加密策略來防護(hù)在復(fù)雜系統(tǒng)中，這些策略是不充分的這些措施都是以減慢交易為代價(jià)的大部分損失是由內(nèi)部引起的82%的損失是內(nèi)部威脅造成的傳統(tǒng)安全技術(shù)難于防內(nèi)傳統(tǒng)的安全技術(shù)基本上是一種被動(dòng)的防護(hù)，而如今的攻擊和入侵要求我們主動(dòng)地去檢測(cè)、發(fā)現(xiàn)和排除安全隱患傳統(tǒng)安全措施不能滿足這一點(diǎn)傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪問控制和數(shù)據(jù)加53入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述54入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）企圖進(jìn)入或?yàn)E用計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的行為可能來自于網(wǎng)絡(luò)內(nèi)部的合法用戶入侵檢測(cè)（IntrusionDetection）對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）定義：進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)功能：監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）55為什么需要入侵檢測(cè)系統(tǒng)入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器入侵檢測(cè)系統(tǒng)IDS通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象為什么需要入侵檢測(cè)系統(tǒng)入侵很容易56入侵檢測(cè)的任務(wù)檢測(cè)來自內(nèi)部的攻擊事件和越權(quán)訪問85％以上的攻擊事件來自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測(cè)系統(tǒng)作為傳統(tǒng)安全工具的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開放的服務(wù)入侵通過事先發(fā)現(xiàn)風(fēng)險(xiǎn)來阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員檢測(cè)其它安全工具沒有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性入侵檢測(cè)的任務(wù)檢測(cè)來自內(nèi)部的攻擊事件和越權(quán)訪問57入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectionSystems)入侵檢測(cè)系統(tǒng)Promiscuous混雜模式，即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來源或目的地Signatures特征，即攻擊的特征Alerts警告Anomaly異常Console控制臺(tái)Sensor傳感器，即檢測(cè)引擎入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectio58入侵檢測(cè)系統(tǒng)分類-1按照數(shù)據(jù)來源：基于主機(jī)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行入侵檢測(cè)系統(tǒng)分類-1按照數(shù)據(jù)來源：59入侵檢測(cè)系統(tǒng)分類-2按系統(tǒng)各模塊的運(yùn)行方式集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行分布式系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上根據(jù)時(shí)效性脫機(jī)分析行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析入侵檢測(cè)系統(tǒng)分類-2按系統(tǒng)各模塊的運(yùn)行方式60基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-BasedIDS(HIDS)系統(tǒng)安裝在主機(jī)上面，對(duì)本主機(jī)進(jìn)行安全檢測(cè)優(yōu)點(diǎn)審計(jì)內(nèi)容全面，保護(hù)更加周密視野集中適用于加密及交換環(huán)境易于用戶自定義對(duì)網(wǎng)絡(luò)流量不敏感缺點(diǎn)額外產(chǎn)生的安全問題HIDS依賴性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過大不能監(jiān)控網(wǎng)絡(luò)上的情況基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-B61基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Network-BasedIDS(NIDS)系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)優(yōu)點(diǎn)檢測(cè)范圍廣，提供對(duì)網(wǎng)絡(luò)通用的保護(hù)無(wú)需改變主機(jī)配置和性能，安裝方便獨(dú)立性，操作系統(tǒng)無(wú)關(guān)性偵測(cè)速度快隱蔽性好較少的監(jiān)測(cè)器，占資源少缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Networ62IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件信息收集信息分析結(jié)果處理IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件63信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來的信息有可能看不出疑點(diǎn)入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、64信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果65結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警……結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。66IDS的組成檢測(cè)引擎控制中心HUB檢測(cè)引擎MonitoredServers控制中心IDS的組成檢測(cè)引擎HUB檢測(cè)引擎MonitoredSer67檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)68檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部署四檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部69網(wǎng)絡(luò)入侵技術(shù)網(wǎng)絡(luò)入侵技術(shù)70入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息，使系統(tǒng)不可靠或不能使用的行為破壞計(jì)算機(jī)或網(wǎng)絡(luò)資源的完整性、機(jī)密性、可用性、可控性入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)入侵者可以被分為兩類:外部的:網(wǎng)絡(luò)外面的侵入者內(nèi)部的:合法使用網(wǎng)絡(luò)的侵入者，包括濫用權(quán)力的人和模仿更改權(quán)力的人(比如使用別人的終端)。80%的安全問題同內(nèi)部人有關(guān)入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息71侵入系統(tǒng)的主要途徑物理侵入侵入者對(duì)主機(jī)有物理進(jìn)入權(quán)限方法如移走磁盤并在另外的機(jī)器讀/寫系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個(gè)知名漏洞獲得系統(tǒng)管理員權(quán)限的機(jī)會(huì)遠(yuǎn)程侵入入侵者通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)，侵入者從無(wú)特權(quán)開始入檢測(cè)系統(tǒng)主要關(guān)心遠(yuǎn)程侵入侵入系統(tǒng)的主要途徑物理侵入72網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果清除日志網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集73目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件：SATAN，流光，Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描74自身隱藏典型的黑客使用如下技術(shù)來隱藏IP地址通過telnet在以前攻克的Unix主機(jī)上跳轉(zhuǎn)通過終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理服務(wù)器更高級(jí)的黑客，精通利用電話交換侵入主機(jī)自身隱藏典型的黑客使用如下技術(shù)來隱藏IP地址75利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI/IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞76穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門BO，冰河添加系統(tǒng)賬號(hào)添加管理員賬號(hào)利用LKMLoadableKernelModules動(dòng)態(tài)加載無(wú)需重新編譯內(nèi)核利用信任主機(jī)控制了主機(jī)以后，可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理服務(wù)器，可以利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門77清除日志清除入侵日志W(wǎng)indows清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫(kù)連接日志Unix登陸信息/var/log/home/user/.bash_historylastlog使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵清除日志清除入侵日志78網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號(hào)獲取超級(jí)用戶權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶的口令，從而發(fā)現(xiàn)突破口。網(wǎng)絡(luò)入侵步驟總覽選中攻獲取普通擦除入安裝后門獲取超級(jí)攻擊其它79IDS工作原理IDS工作原理80入侵檢測(cè)引擎工作流程-1入侵檢測(cè)引擎工作流程-181入侵檢測(cè)引擎工作流程-2監(jiān)聽部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過濾一些數(shù)據(jù)包協(xié)議分析IP，IPX，PPP，......數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall入侵檢測(cè)引擎工作流程-2監(jiān)聽部分82入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetection）誤用檢測(cè)（MisuseDetection）完整性分析入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetectio83異常檢測(cè)基本原理正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況統(tǒng)計(jì)模型優(yōu)點(diǎn)可以檢測(cè)到未知的入侵可以檢測(cè)冒用他人帳號(hào)的行為具有自適應(yīng)，自學(xué)習(xí)功能不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來逃避檢測(cè)合法用戶正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難異常檢測(cè)基本原理84誤用檢測(cè)基本原理提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶行為特征模式匹配優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開銷小準(zhǔn)確率高效率高缺點(diǎn)被動(dòng)只能檢測(cè)出已知攻擊新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴于硬件平臺(tái)、操作系統(tǒng)和系統(tǒng)中運(yùn)行的應(yīng)用程序誤用檢測(cè)基本原理85完整性分析基本原理通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞優(yōu)點(diǎn)不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)完整性分析基本原理86入侵檢測(cè)具體方法-1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑