第章入侵檢測(cè)

第五章入侵檢測(cè)系統(tǒng)李劍北京郵電大學(xué)信息安全中心E-mail:securitydoctor@163.com010－862123461目錄一.入侵檢測(cè)概述二.入侵檢測(cè)技術(shù)三.IDS的標(biāo)準(zhǔn)化四.入侵檢測(cè)的發(fā)展2入侵檢測(cè)

入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。

入侵監(jiān)測(cè)系統(tǒng)(IDS，IntrusionDetectionSystem)與系統(tǒng)掃描器(SystemScanner)不同。系統(tǒng)掃描器是根據(jù)攻擊特征數(shù)據(jù)庫(kù)來(lái)掃描系統(tǒng)漏洞的，它更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出主機(jī)的流量。在遭受攻擊的主機(jī)上，即使正在運(yùn)行著掃描程序，也無(wú)法識(shí)別這種攻擊。IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。網(wǎng)絡(luò)掃描器檢測(cè)主機(jī)上先前設(shè)置的漏洞，而IDS監(jiān)視和記錄網(wǎng)絡(luò)流量。如果在同一臺(tái)主機(jī)上運(yùn)行IDS和掃描器，配置合理的IDS會(huì)發(fā)出許多報(bào)警。35.1入侵檢測(cè)概述

入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。它可以防止或減輕上述的網(wǎng)絡(luò)威脅。45.1.1為什么需要入侵檢測(cè)系統(tǒng) 政府、銀行、大企業(yè)等機(jī)構(gòu)都有自己的內(nèi)網(wǎng)資源。企業(yè)經(jīng)常在防火墻系統(tǒng)上投入大量的資金，在因特網(wǎng)入口處部署防火墻系統(tǒng)來(lái)保證安全，依賴防火墻建立網(wǎng)絡(luò)的組織往往是“外緊內(nèi)松”，無(wú)法阻止內(nèi)部人員所做的攻擊,對(duì)信息流的控制缺乏靈活性，從外面看似非常安全，但內(nèi)部缺乏必要的安全措施。據(jù)統(tǒng)計(jì)，全球80%以上的入侵來(lái)自于內(nèi)部。由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力，對(duì)于企業(yè)內(nèi)部人員所做的攻擊，防火墻形同虛設(shè)。入侵檢測(cè)是對(duì)防火墻及其有益的補(bǔ)充，入侵檢測(cè)系統(tǒng)能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。55.1.1為什么需要入侵檢測(cè)系統(tǒng)對(duì)防火墻和入侵檢測(cè)系統(tǒng)的聯(lián)系有一個(gè)經(jīng)典的比喻：防火墻相當(dāng)于一個(gè)把門的門衛(wèi)，對(duì)于所有進(jìn)出大門的人員進(jìn)行審核，只有符合安全要求的人，就是那些有入門許可證的人才可以進(jìn)、出大門；門衛(wèi)可以防止小偷進(jìn)入大樓，但不能保證小偷100%地被拒之門外,而且對(duì)于那些本身就在大門內(nèi)部的，以及那些具備入門證的、以合法身份進(jìn)入了大門的人，是否做好事也無(wú)法監(jiān)控，這時(shí)候就需要依靠入侵檢測(cè)系統(tǒng)來(lái)進(jìn)行審計(jì)和控制,及時(shí)發(fā)現(xiàn)異常情況并發(fā)出警告。65.1.2入侵檢測(cè)的概念本文中的“入侵”是個(gè)廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問(wèn)（DenialofService）等對(duì)計(jì)算機(jī)系統(tǒng)造成危害的行為。入侵檢測(cè)，顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。75.1.2入侵檢測(cè)的概念由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來(lái)。除了國(guó)外的ISS、axent、NFR、思科(Cisco)等公司外，國(guó)內(nèi)也有數(shù)家公司（如啟明星辰、中聯(lián)綠盟、中科網(wǎng)威等）推出了自己相應(yīng)的產(chǎn)品。但就目前而言，入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)。目前，試圖對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化的工作有兩個(gè)組織：IETF的IDWF(IntrusionDetectionWorkingGroup)和CIDF(CommonIntrusionDetectionFramework)，但進(jìn)展非常緩慢，尚沒(méi)有被廣泛接收的標(biāo)準(zhǔn)出臺(tái)。85.1.3入侵檢測(cè)的歷史從實(shí)驗(yàn)室原型研究到推出商業(yè)化產(chǎn)品、走向市場(chǎng)并獲得廣泛認(rèn)同，入侵檢測(cè)系統(tǒng)已經(jīng)走過(guò)了二十多年的風(fēng)雨坎坷路。

1.概念的誕生1980年4月，JamesP.Anderson為美國(guó)空軍做了一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》（ComputerSecurityThreatMonitoringandSurveillance）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念。他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為3種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。95.1.3入侵檢測(cè)的歷史2.模型的發(fā)展

1984－1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL（SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室）的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為入侵檢測(cè)專家系統(tǒng)（IDES）。該模型由6個(gè)部分組成：主體、對(duì)象、審計(jì)記錄、輪廓特征、異常記錄、活動(dòng)規(guī)則。它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用的框架。105.1.3入侵檢測(cè)的歷史1988年，SRI/CSL的TeresaLunt等人改進(jìn)了Denning的入侵檢測(cè)模型，并開發(fā)出了一個(gè)IDES。該系統(tǒng)包括一個(gè)異常檢測(cè)器和一個(gè)專家系統(tǒng)，分別用于統(tǒng)計(jì)異常模型的建立和基于規(guī)則的特征分析檢測(cè)，如圖5.1所示。115.1.3入侵檢測(cè)的歷史3.百花齊放的春天

1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)。從此之后，入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁(yè)，基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS兩大陣營(yíng)正式形成。125.1.3入侵檢測(cè)的歷史1988年的莫里斯蠕蟲事件發(fā)生之后，網(wǎng)絡(luò)安全才真正引起了軍方、學(xué)術(shù)界和企業(yè)的高度重視。美國(guó)空軍、國(guó)家安全局和能源部共同資助空軍密碼支持中心、勞倫斯利弗摩爾國(guó)家實(shí)驗(yàn)室、加州大學(xué)戴維斯分校、Haystack實(shí)驗(yàn)室，開展對(duì)分布式入侵檢測(cè)系統(tǒng)（DIDS）的研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成到一起，其總體結(jié)構(gòu)如圖5.2所示。135.1.3入侵檢測(cè)的歷史DIDS是分布式入侵檢測(cè)系統(tǒng)歷史上的一個(gè)里程碑式的產(chǎn)品，它的檢測(cè)模型采用了分層結(jié)構(gòu)，包括數(shù)據(jù)、事件、主體、上下文、威脅、安全狀態(tài)等6層。從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。目前，SRI/CSL、普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。145.1.4入侵檢測(cè)的結(jié)構(gòu)IDS在結(jié)構(gòu)上可劃分為數(shù)據(jù)收集和數(shù)據(jù)分析兩部分。

1、數(shù)據(jù)收集機(jī)制數(shù)據(jù)收集機(jī)制在IDS中占據(jù)著舉足輕重的位置。如果收集的數(shù)據(jù)時(shí)延較大，檢測(cè)就會(huì)失去作用；如果數(shù)據(jù)不完整，系統(tǒng)的檢測(cè)能力就會(huì)下降；如果由于錯(cuò)誤或入侵者的行為致使收集的數(shù)據(jù)不正確，IDS就會(huì)無(wú)法檢測(cè)某些入侵，給用戶以安全的假象。155.腳1.慘4入侵符檢測(cè)虧的結(jié)損構(gòu)ID求S在結(jié)孤構(gòu)上店可劃仔分為禿數(shù)據(jù)孩收集栽和數(shù)慚據(jù)分逝析兩腫部分記。1、數(shù)疼據(jù)收映集機(jī)慨制數(shù)據(jù)漠收集摟機(jī)制奮在ID吩S中占坡?lián)Z舉足們輕重串的位頭置。瀉如果近收集氏的數(shù)深據(jù)時(shí)累延較堵大，臭檢測(cè)啊就會(huì)疾失去偵作用罷；如闊果數(shù)鄰據(jù)不杏完整繡，系犬統(tǒng)的印檢測(cè)臘能力腳就會(huì)著下降筒；如游果由舍于錯(cuò)花誤或橡入侵史者的聚行為干致使況收集根的數(shù)此據(jù)不赤正確酒，ID唐S就會(huì)原無(wú)法國(guó)檢測(cè)傾某些攝入侵吐，給受用戶嶺以安賢全的各假象艷。165.鵲1.雜4入侵腿檢測(cè)擇的結(jié)報(bào)構(gòu)(1查)分布榆式與綿集中傅式數(shù)掌據(jù)收攔集機(jī)駱制分布捷式數(shù)追據(jù)收幼集：草檢測(cè)甘系統(tǒng)壁收集溜的數(shù)姿據(jù)來(lái)本自一勿些固渣定位貝置而骨且與砍受監(jiān)歪視的管網(wǎng)元嚇數(shù)量派無(wú)關(guān)告。集中線式數(shù)延據(jù)收詞集：浙檢測(cè)陳系統(tǒng)神收集蓮的數(shù)歸據(jù)來(lái)秩自一逃些與宰受監(jiān)炸視的測(cè)網(wǎng)元倒數(shù)量正有一鵲定比墾例關(guān)項(xiàng)系的賊位置劉。175.臥1.漫4入侵驗(yàn)檢測(cè)在的結(jié)蠟構(gòu)(2萄)直接棄監(jiān)控剩和間未接監(jiān)摸控如果ID休S從它段所監(jiān)數(shù)控的諒對(duì)象她處直悅接獲編得數(shù)加據(jù)，渡稱為企直接叫監(jiān)控核；反分之，勞如果ID徐S依賴胖一個(gè)艘單獨(dú)仇的進(jìn)濃程或預(yù)工具些獲得僚數(shù)據(jù)曾，則脊稱為統(tǒng)間接悠監(jiān)控投。就檢祖測(cè)入朱侵行罪為而貸言，汪直接刊監(jiān)控干要優(yōu)言于間株接監(jiān)獎(jiǎng)控，呀由于辣直接臭監(jiān)控化操作功的復(fù)兩雜性冶，目編前的ID講S產(chǎn)品皇中只彩有不懲足20清%使用迎了直代接監(jiān)灣控機(jī)超制。185.罩1.轟4入侵瞇檢測(cè)忽的結(jié)課構(gòu)(3億)基于叮主機(jī)博的數(shù)黎據(jù)收落集和幫基于麗網(wǎng)絡(luò)提的數(shù)剩據(jù)收稠集基于轟主機(jī)治的數(shù)解據(jù)收妨集是民從所舒監(jiān)控竄的主縱機(jī)上塑獲取蹄的數(shù)備據(jù);基于中網(wǎng)絡(luò)攤的數(shù)屈據(jù)收育集是翼通過(guò)伏被監(jiān)赴視網(wǎng)話絡(luò)中帖的數(shù)對(duì)據(jù)流碗獲得首數(shù)據(jù)奪?？傮w兇而言涼，基剖于主副機(jī)的劉數(shù)據(jù)察收集泥要優(yōu)所于基搞于網(wǎng)憑絡(luò)的銹數(shù)據(jù)象收集番。195.姻1.狂4入侵抽檢測(cè)章的結(jié)糟構(gòu)(4芹)外部害探測(cè)化器和震內(nèi)部侵探測(cè)圈器外部膛探測(cè)莫器是燦負(fù)責(zé)美監(jiān)測(cè)宣主機(jī)屠中某罪個(gè)組漆件（守硬件羅或軟歷件）裕的軟掘件。毫它將近向ID畏S提供巾所需障的數(shù)噸據(jù)，話這些散操作暴是通百過(guò)獨(dú)還立于繼系統(tǒng)木的其刮他代她碼來(lái)府實(shí)施郊的。內(nèi)部蜜探測(cè)巡壽器是朱負(fù)責(zé)蒙監(jiān)測(cè)沃主機(jī)釀中某京個(gè)組循件（及硬件供或軟芹件）青的軟濕件。旺它將搬向ID腎S提供倦所需費(fèi)的數(shù)鋸據(jù)，昨這些碰操作旦是通揉過(guò)該廣組件群的代梢碼來(lái)團(tuán)實(shí)施說(shuō)的。外部飽探測(cè)向器和努內(nèi)部稼探測(cè)碌器在課用于企數(shù)據(jù)倚收集員時(shí)各挺有利基弊，基可以半綜合櫻使用擊。由土于內(nèi)講部探膽測(cè)器征實(shí)現(xiàn)耀起來(lái)屋的難南度較墨大，耗所以秒在現(xiàn)智有的ID斷S產(chǎn)品相中，閉只有牢很少遵的一我部分厲采用蝴它。205.潑1.顧4入侵救檢測(cè)晶的結(jié)殘構(gòu)2、數(shù)撫據(jù)分厭析機(jī)窄制根據(jù)ID匠S如何痰處理斥數(shù)據(jù)銅，可簡(jiǎn)以將ID伏S分為估分布機(jī)式ID屑S和集兆中式ID蠻S。分布街式ID鏈S：在邁一些腔與受釀監(jiān)視擴(kuò)組件常相應(yīng)臣的位擇置對(duì)罪數(shù)據(jù)酬進(jìn)行呆分析跑的ID檢S。集中暑式ID淚S：在咐一些么固定籍且不職受監(jiān)貍視組絹件數(shù)部量限膝制的息位置豎對(duì)數(shù)支據(jù)進(jìn)找行分能析的ID擾S。請(qǐng)注東意，孔這些丸定義叼是基莊于受降監(jiān)視孝組件惜的數(shù)斯量而杠不是袖主機(jī)怒的數(shù)勇量，示所以然如果愧在系撥統(tǒng)中頭的不策同組晝件中怠進(jìn)行悶數(shù)據(jù)符分析冶，除獻(xiàn)了安枯裝集腔中式ID停S外，度有可姐能在差一個(gè)節(jié)主機(jī)盒中安圣裝分摔布式友數(shù)據(jù)寫分析宇的ID膚S。分瓜布式勉和集幕中式ID好S都可應(yīng)以使吉用基礦于主光機(jī)、求基于木網(wǎng)絡(luò)掏或兩斯者兼浩備的事數(shù)據(jù)耳收集挖方式遍。215.赴1.爪5入侵丹檢測(cè)焦系統(tǒng)快的作劈燕用入侵版檢測(cè)文系統(tǒng)饑具有脆以下逃部分僚或全忘部功悲能：監(jiān)督誓并分犧析用比戶和湊系統(tǒng)覆的活勒動(dòng)；檢查癢系統(tǒng)壓配置赴和漏攏洞；檢查記關(guān)鍵鳳系統(tǒng)予和數(shù)管據(jù)文筒件的井完整坑性；識(shí)別貧代表型已知閘攻擊神的活魯動(dòng)模第式；對(duì)反粱常行事為模還式的屬統(tǒng)計(jì)鈔分析策；對(duì)操課作系殼統(tǒng)的捕校驗(yàn)純管理柿，判農(nóng)斷是終否有伶破壞季安全和的用餐戶活肥動(dòng)。225.壇1.導(dǎo)5入侵腐檢測(cè)芒系統(tǒng)樂(lè)的作陣用入侵紋檢測(cè)序系統(tǒng)妙和漏貧洞評(píng)徹估工賭具可喘以聯(lián)預(yù)合起雄來(lái)，獸其的主優(yōu)點(diǎn)吹在于蓄：提高嘴了信記息安鳥全體諒系其擁他部良分的疫完整袖性；提高認(rèn)了系懲統(tǒng)的滿監(jiān)察盒能力輝；跟蹤傻用戶蒙從進(jìn)默入到勢(shì)退出持的所判有活丈動(dòng)或艱影響竄；識(shí)別環(huán)并報(bào)表告數(shù)癥據(jù)文嚼件的渡改動(dòng)憶；發(fā)現(xiàn)秒系統(tǒng)法配置短的錯(cuò)買誤，箱必要?jiǎng)潟r(shí)予親以更霧正；識(shí)別信特定貌類型煎的攻使擊，眾并向船相應(yīng)鈴人員來(lái)報(bào)警稈，以御作出碧防御就反應(yīng)晴；可使扶系統(tǒng)息管理促人員甘最新敘的版加本升甘級(jí)添京加到零程序纖中；允許遺非專萌家人鐮員從懼事系治統(tǒng)安啦全工嘴作；為信疼息安片全策唐略的欣創(chuàng)建碰提供振指導(dǎo)驕。235.插1.若5入侵延檢測(cè)妹系統(tǒng)推的作澤用必須苦修正繩對(duì)入平侵檢譯測(cè)系別統(tǒng)和晚漏洞匹評(píng)估恰工具尼不切認(rèn)實(shí)際疤的期傻望：輸這些庫(kù)產(chǎn)品固并不國(guó)是無(wú)衫所不墊能的狐，它齊們無(wú)春法彌拿補(bǔ)力墳量薄激弱的繞識(shí)別獨(dú)和確嫁認(rèn)機(jī)男制。在無(wú)牽人干貫預(yù)的落情況煎下，趣無(wú)法感執(zhí)行頓對(duì)攻濃擊的懇檢查差；無(wú)法酸感知鑒公司顆安全樸策略橡的內(nèi)哪容；不能狹彌補(bǔ)汪網(wǎng)絡(luò)臣協(xié)議厚的漏島洞；不能遷彌補(bǔ)視由于匪系統(tǒng)夢(mèng)提供酸信息催的質(zhì)春量或炎完整磁性的印問(wèn)題切；不能敏分析篇網(wǎng)絡(luò)膽繁忙括時(shí)所吩有事賽務(wù)；不能皂總是奪對(duì)數(shù)劃據(jù)包桑級(jí)的獵攻擊巧進(jìn)行劈燕處理鉤；不能筐應(yīng)付抹現(xiàn)代章網(wǎng)絡(luò)阿的硬壘件及除特性煤。245.更1.汗6入侵耍檢測(cè)應(yīng)的分湊類1.根據(jù)洗其采餐用的膨技術(shù)晌分。(1應(yīng))異常黎檢測(cè)異常牲檢測(cè)改的假在設(shè)是耐入侵鞭者活擇動(dòng)異妨常于燭正常大主體過(guò)的活矮動(dòng)，織建立拖正常色活動(dòng)置的“公活動(dòng)梁簡(jiǎn)檔首”，捆當(dāng)前豪主體釘?shù)幕罱謩?dòng)違予反其離統(tǒng)計(jì)釋規(guī)律匹時(shí)，典認(rèn)為軟可能滋是“魔入侵描”行體為。奏通過(guò)暫檢測(cè)棗系統(tǒng)放的行密為或篩使用襲情況可的變斤化來(lái)膠完成歲。(2嘆)誤用傘檢測(cè)誤用黃檢測(cè)額也叫筆特征慈檢測(cè)標(biāo)，它貸假設(shè)尿入侵氧者活戒動(dòng)可崗以用偽一種勢(shì)模式車來(lái)表隱示，仗然后單將觀帽察對(duì)帽象與逆之比膀較，加判別滅是否賤符合汗這些崗模式傘。255.像1.狂6入侵慢檢測(cè)央的分譯類2.根據(jù)ID吸S所檢服測(cè)對(duì)瓦象的狐區(qū)別代可分振為基快于主凝機(jī)的冰入侵沿檢測(cè)氣系統(tǒng)蒙和基滅于網(wǎng)岸絡(luò)的期入侵瞇檢測(cè)續(xù)系統(tǒng)靜。(1體)基于局主機(jī)宜的ID酸S基于競(jìng)主機(jī)待的ID鈔S通過(guò)抄監(jiān)視防與分申析主篇機(jī)的烘審計(jì)吹記錄巧檢測(cè)源入侵祝。能刻否及叼時(shí)采帖集到困審計(jì)鬼是這登些系貓統(tǒng)的謀弱點(diǎn)躲之一此，入喇侵者底會(huì)將先主機(jī)隸審計(jì)砍子系村統(tǒng)作極為攻嫁擊目鼓標(biāo)以柔避開ID家S。如利圖5.惹3所示屬為基竟于主稻機(jī)的ID嚴(yán)S。265.防1.府6入侵闖檢測(cè)蜂的分互類(2序)基于書網(wǎng)絡(luò)饒的ID垮S：基握于網(wǎng)酬絡(luò)的ID碑S通過(guò)第在共許享網(wǎng)牌段上瘡對(duì)通第信數(shù)學(xué)據(jù)的振偵聽側(cè)采集攤數(shù)據(jù)月，分撈析可鎖疑現(xiàn)拋象。絡(luò)這類所系統(tǒng)鍛不需寧要主碧機(jī)提研供嚴(yán)便格的示審計(jì)紅，對(duì)濟(jì)主機(jī)盞資源冊(cè)消耗手少，僅并可皮以提很供對(duì)蹄網(wǎng)絡(luò)右通用名的保改護(hù)而吃無(wú)需件顧及踩異構(gòu)箭主機(jī)涌的不洪同架呢構(gòu)。診圖5.悔4所示辮為基寒于網(wǎng)議絡(luò)的ID襪S。275.貪1.款6入侵托檢測(cè)糟的分摟類(3縮慧)分布兵式入湖侵檢皇測(cè)系孩統(tǒng)目前鞭這種煙技術(shù)頃在IS堂S的Re剪al遠(yuǎn)Se秘cu埋re等產(chǎn)旋品中緊已經(jīng)君有了化應(yīng)用腸。它孤檢測(cè)濫的數(shù)豎據(jù)也海是來(lái)旨源于叼網(wǎng)絡(luò)隔中的辦數(shù)據(jù)鬼包，貓不同貝的是泄，它襖采用件分布寸式檢袍測(cè)、罷集中培管理態(tài)的方坊法。曬即在侵每個(gè)催網(wǎng)段族安裝己一個(gè)泄黑匣那子，逮該黑筍匣子備相當(dāng)屯于基春于網(wǎng)煌絡(luò)的ID爬S，只崇是沒(méi)體有用寺戶操響作界旦面。賓黑匣炊子用東來(lái)監(jiān)棒測(cè)其草所在鄰網(wǎng)段疲上的狼數(shù)據(jù)臣流，門它根擇據(jù)集準(zhǔn)中安掘全管覺(jué)理中娃心制鎖定的惕安全值策略傭、響劃應(yīng)規(guī)垃則等畜來(lái)分語(yǔ)析檢朱測(cè)網(wǎng)蘇絡(luò)數(shù)傅據(jù)，發(fā)同時(shí)叼向集巴中安猛全管魂理中晉心發(fā)絲式回安姓全事陡件信織息。割集中佳安全撲管理乳中心色是整樓個(gè)分煎布式圖入侵測(cè)檢測(cè)概系統(tǒng)存面向加用戶告的界芹面。黎它的唐特點(diǎn)勤是對(duì)奔數(shù)據(jù)謀保護(hù)女的范蒜圍比顆較大院，但留對(duì)網(wǎng)竹絡(luò)流怒量有都一定盲的影份響。285.袍1.橋6入侵常檢測(cè)豎的分創(chuàng)類3.根據(jù)依工作售方式右分(1團(tuán))離線姓檢測(cè)虹系統(tǒng)離線激檢測(cè)廢系統(tǒng)密是非鈴實(shí)時(shí)幻玉工作嘉的系智統(tǒng)，徹它在娛事后歇分析糠審計(jì)稿事件醋，從磚中檢沈查入映侵活汪動(dòng)。博事后獲入侵助檢測(cè)寨由網(wǎng)啟絡(luò)管較理人伙員進(jìn)南行，旋具有并網(wǎng)絡(luò)桂安全仙的專策業(yè)知烘識(shí)，裁根據(jù)粒計(jì)算逐機(jī)系運(yùn)統(tǒng)對(duì)梁用戶瞇操作蓋所做蓋的歷影史審匪計(jì)記爺錄判慣斷是哨否存身在入加侵行姿為，覽如果矩有就氧斷開六連接糠，并上記錄返入侵懸證據(jù)職和進(jìn)喘行數(shù)破據(jù)恢遷復(fù)。垃事后夠入侵芳檢測(cè)壯是管蓬理員蒼定期抓或不坑定期呢進(jìn)行釘?shù)?，舉不具超有實(shí)襖時(shí)性巨。295.凱1.公6入侵姿檢測(cè)岸的分柱類(2棚)在線睬檢測(cè)嫩系統(tǒng)在線鞏檢測(cè)塑系統(tǒng)橡是實(shí)巖時(shí)聯(lián)爪機(jī)的踐檢測(cè)朽系統(tǒng)難，它競(jìng)包含金對(duì)實(shí)桐時(shí)網(wǎng)雙絡(luò)數(shù)娛據(jù)包律分析麥，實(shí)喚時(shí)主軌機(jī)審疤計(jì)分悅析。杜其工偏作過(guò)鑰程是彎實(shí)時(shí)浙入侵散檢測(cè)什在網(wǎng)適絡(luò)連慕接過(guò)醫(yī)程中障進(jìn)行跨，系偷統(tǒng)根義據(jù)用麥戶的腹歷史鼠行為皇模型歐、存純儲(chǔ)在喚計(jì)算鬼機(jī)中老的專杜家知絞識(shí)以魔及神斬經(jīng)網(wǎng)栗絡(luò)模安型對(duì)巾用戶疲當(dāng)前鵝的操寶作進(jìn)照行判引斷，指一旦漿發(fā)現(xiàn)乳入侵張跡象株立即下斷開驅(qū)入侵?jǐn)_者與撓主機(jī)康的連律接，想并收月集證點(diǎn)據(jù)和秤實(shí)施坦數(shù)據(jù)匯恢復(fù)紫。這找個(gè)檢戶測(cè)過(guò)猜程是晃不斷每循環(huán)櫻進(jìn)行涉的。305.旺1.陜6入侵需檢測(cè)模的分鬼類4.按照扣體系漁結(jié)構(gòu)航分(1背)集中腐式這種謊結(jié)構(gòu)違的ID盟S可能童有多憐個(gè)分付布于扎不同尊主機(jī)澆上的豪審計(jì)壟程序做，但饒只有在一個(gè)傻中央集入侵它檢測(cè)飛服務(wù)甚器。籮審計(jì)門程序藝把當(dāng)炸地收戒集到竭的數(shù)瓣據(jù)蹤悅跡發(fā)襯送給閱中央扇服務(wù)其器進(jìn)呀行分凱析處鄭理。杠但這爬種結(jié)拌構(gòu)的ID蛛S在可武伸縮護(hù)性、是可配丈置性程方面守存在五致命率缺陷焰：第辭一，剩隨著綢網(wǎng)絡(luò)襖規(guī)模刪的增昂加，誼主機(jī)虛審計(jì)欄程序奸和服臥務(wù)器謹(jǐn)之間溉傳送幼的數(shù)古據(jù)量霜就會(huì)斯驟增悟，導(dǎo)沫致網(wǎng)腫絡(luò)性禾能大揪大降癢低；夕第二賊，系鄙統(tǒng)安閱全性頁(yè)脆弱匆，一穿旦中蠅央服照務(wù)器插出現(xiàn)家故障挺，整籃個(gè)系選統(tǒng)就杜會(huì)陷棄入癱拾瘓；檔第三雀，根宰據(jù)各貼個(gè)主旦機(jī)不樂(lè)同需胃求，寧配置炊服務(wù)刃器非午常復(fù)剃雜。315.鳥1.遼6入侵拌檢測(cè)厲的分榨類(2趨)等級(jí)裂式這種懸結(jié)構(gòu)井的ID不S用來(lái)棉監(jiān)控散大型檔網(wǎng)絡(luò)行，定平義了哪若干掉個(gè)分棄等級(jí)寶的監(jiān)避控區(qū)衡，每貸個(gè)ID烈S負(fù)責(zé)尺一個(gè)挪區(qū)，斯每一志級(jí)ID衛(wèi)S只負(fù)膀責(zé)所惱監(jiān)控泊區(qū)的量分析在，然扔后將陰當(dāng)?shù)匮姆址形鼋Y(jié)灰果傳砌送給揭上一沫級(jí)ID世S。這白種結(jié)龜構(gòu)仍站存兩晃個(gè)問(wèn)嚼題：泉首先圈，當(dāng)遙網(wǎng)絡(luò)得拓?fù)渚I結(jié)構(gòu)受改變提時(shí)，災(zāi)區(qū)域倘分析堅(jiān)結(jié)果嚇的匯轟總機(jī)秒制也有需要魯做相產(chǎn)應(yīng)的辟調(diào)整濃；第厭二，奮這種梁結(jié)構(gòu)夫的ID聽S最后厘還是消要把鴨各地棉收集爹到的持結(jié)果勻傳送芽到最暴高級(jí)南的檢法測(cè)服喜務(wù)器揮進(jìn)行衰全局彼分析首，所素以系腎統(tǒng)的電安全持性并獵沒(méi)有斥實(shí)質(zhì)愉性的渴改進(jìn)售。325.賣1.洪6入侵牙檢測(cè)拘的分映類(3巖)協(xié)作遠(yuǎn)式這種絹結(jié)構(gòu)逮的ID饒S將中運(yùn)央檢膨測(cè)服董務(wù)器濕的任膜務(wù)分纏配給景多個(gè)孕基于竹主機(jī)鹽的ID效S，這島些ID趁S不分站等級(jí)極，各爭(zhēng)司其負(fù)職，號(hào)負(fù)責(zé)督監(jiān)控吳當(dāng)?shù)仡i主機(jī)釘?shù)哪逞┗畈蕜?dòng)。詳所以腥，其宋可伸木縮性申、安諸全性杰都得籌到了程顯著箱的提舌高，延但維敬護(hù)成兇本卻墾高了詞很多譜，并欠且增英加了感所監(jiān)投控主術(shù)機(jī)的煌工作嚷負(fù)荷涉，如冠通信畝機(jī)制庸、審等計(jì)開亡銷、饒蹤跡此分析桃等。335.昨2入侵恨檢測(cè)轉(zhuǎn)技術(shù)5.益2.暑1誤用形入侵蜓檢測(cè)誤用督入侵口檢測(cè)愈是指義根據(jù)筐已知個(gè)的入挨侵模霉式來(lái)西檢測(cè)港入侵盯。入殊侵者藏常常球利用纖系統(tǒng)腔和應(yīng)今用軟脅件中熊弱點(diǎn)肚攻擊略，而此這些嘗弱點(diǎn)毒易編窩成某臂種模惜式，銀如果掀入侵懷者攻仿?lián)舴教な角∨R好匹膚配檢蠅測(cè)系憂統(tǒng)中餡的模尖式庫(kù)綠，則泳入侵別者即照被檢業(yè)測(cè)到糊，如彈圖5.股5所示曉。345.芹2入侵歇檢測(cè)云技術(shù)誤用折入侵迅檢測(cè)痛依賴毛于模蛛式庫(kù)潛，或扒叫規(guī)宮則庫(kù)亡。如梳果沒(méi)段有構(gòu)憤造好猴模式載庫(kù)，拌則ID厭S就不透能檢鳥測(cè)到秘入侵掘者。痰例如腐，因顫特網(wǎng)厲蠕蟲赤攻擊(W怖or廚m繞At獲ta迅ck星)使用倒了fi炕ng吐er異ed和se濱nd在ma拐i1錯(cuò)誤渣（Bu亦gs），熔可以責(zé)使用春誤用裕檢測(cè)按，與壞異常專入侵牌檢測(cè)匯相反辯，誤膀用入以侵檢腫測(cè)能疼直接焰檢測(cè)役不利厲的或包不能慈接受幼的行瓦為，唯而異誼常入紙侵檢眾測(cè)是標(biāo)發(fā)現(xiàn)稈同正莊常行懼為相擔(dān)違背歐的行趨為。355.阿2入侵抓檢測(cè)騎技術(shù)1.基于藝條件呀概率品誤用致入侵蛙檢測(cè)弓方法基于紀(jì)條件氧概率撤誤用濤入侵槍檢測(cè)末方法虧將入營(yíng)侵方抽式對(duì)在應(yīng)一蕩個(gè)事貪件序雞列，速然后卡通過(guò)共觀測(cè)候到事稿件發(fā)府生情粥況來(lái)敘推測(cè)袍入侵泥出現(xiàn)糖。這燒種方睛法的帽依據(jù)耐是外蘇部事觸件序離列，驕根據(jù)趁貝葉榴斯定傍理進(jìn)高行推灑理檢縮慧測(cè)入耐侵。橫令ES表示玻事件耕序列嫩，先于驗(yàn)概蘿率為P(彼I)，后遺驗(yàn)概打率為P(世ES洞|I鑰)，事擠件出郵現(xiàn)的慨概率拒為P(榨ES維),則P(玻I|兼ES撿)=搬P(窮ES煉|I去)P石(I姨)/卻P(謹(jǐn)ES廣)，通唯常網(wǎng)程絡(luò)安鉛全專爽家可厲以給余出先稅驗(yàn)概屆率P(分I)，對(duì)稿入侵箱報(bào)告冰數(shù)據(jù)剪進(jìn)行吧統(tǒng)計(jì)括處理遍得出P(孔ES防|I準(zhǔn))和P(且ES罷|┑烏I)窄,于是緊可以牌計(jì)算蹄出：365.瞎2入侵稿檢測(cè)助技術(shù)2.基于堵專家緣瑞系統(tǒng)嚴(yán)誤用遠(yuǎn)入侵鉆檢測(cè)另方法基于盟專家炎系統(tǒng)形誤用據(jù)入侵煌檢測(cè)攀方法病是通敘過(guò)將斬安全暢專家戒的知字識(shí)表確示成IF嗎-T僑HE就N規(guī)則證形成廣專家尋知識(shí)吧庫(kù)，腐然后附，運(yùn)購(gòu)用推卵理算榜法進(jìn)紅行檢壯測(cè)入燃侵。誼編碼印規(guī)則席說(shuō)明指攻擊巡壽的必偉需條克件作景為IF的組責(zé)成部姥分。蒸當(dāng)規(guī)貧則的哈左邊錦的全誕部條匠件都珍滿足餐時(shí)，盯規(guī)則堡的右棟邊的推動(dòng)作況才會(huì)判執(zhí)行輕。入及侵檢鉆測(cè)專罩家系盟統(tǒng)應(yīng)嘴用的妻實(shí)際趨問(wèn)題抱是要愛(ài)處理狐大量貝的數(shù)生據(jù)和隸依賴幅于審尚計(jì)跟癢蹤的旱次序酷，其版推理巨方式壓主要亦有以啊下兩槍種。375.珍2入侵梯檢測(cè)祖技術(shù)3.基于原狀態(tài)文遷移郊分析謠誤用赤入侵甩檢測(cè)網(wǎng)方法狀態(tài)你遷移網(wǎng)分析營(yíng)方法牢將攻荒擊表腫示成準(zhǔn)一系刑列被幸臨近蜓的系戒統(tǒng)狀掌態(tài)遷壇移。斑攻擊魂模式茂的狀層態(tài)對(duì)隸應(yīng)于瞞系統(tǒng)亂狀態(tài)控，并筍具有創(chuàng)遷移卸到另概外狀炒態(tài)的趨條件角斷言舞。通逗過(guò)弧續(xù)將連投續(xù)的免狀態(tài)武連接灰起來(lái)萍表示帝狀態(tài)喉改變聾所需外要的著事件褲。允挨許事突件類蜜型被健植入撲到模澇型，筍不需予同審?fù)?jì)記抬錄一做一對(duì)扔應(yīng)。勾攻擊瓶模式澡只能弄說(shuō)明妹事件風(fēng)序列倚，不購(gòu)能說(shuō)諷明更竟復(fù)雜仁的事繁件。養(yǎng)而且糧，除胳了通伐過(guò)植銹入模便型的停原始攤的斷餅言，遍沒(méi)有升通用頌的方神法來(lái)里排除松攻擊糾模式浪部分酬匹配技。385.守2入侵冒檢測(cè)權(quán)技術(shù)4.基于央鍵盤漏監(jiān)控朱誤用叛入侵虧?rùn)z測(cè)熊方法基于饞鍵盤抹監(jiān)控崗誤用提入侵永檢測(cè)須方法作假設(shè)難入侵栗對(duì)應(yīng)含特定敲的擊悉鍵序愈列模平式，詞然后鍵監(jiān)測(cè)撞用戶樸擊鍵競(jìng)模式炭，并冒將這彼一模溫式與謊入侵品模式逢匹配膜，以通此就泥能檢割測(cè)入蝴侵。懇這種世方法浸的不每利之徐處是濫在沒(méi)謎有操腥作系挎統(tǒng)支治持的步情況唉下，斗缺少鍬捕獲縫用戶致?lián)翩I筍的可灰靠方宵法，渴存在渣無(wú)數(shù)鐵擊鍵沃方式狂表示某同一咱種攻倆擊的憂可能界。而哲且，桐沒(méi)有希擊鍵婆語(yǔ)義綱分析你，用燙戶很更容易傲欺騙屑這種激技術(shù)設(shè)。因麗為這纖種技右術(shù)僅更僅分?jǐn)囄鰮袈滏I，闊所以鹽不能見夠很青好地宣檢測(cè)情到惡上意程場(chǎng)序執(zhí)示行結(jié)棒果的肺自動(dòng)鋒攻擊當(dāng)。395.勤2入侵廣檢測(cè)榨技術(shù)5.基于碧模型趟誤用患入侵鼻檢測(cè)香方法基于躍模型很誤用傅入侵傭檢測(cè)兄方法晌是通線過(guò)建栗立誤玻用證腰據(jù)模蚊型，渡根據(jù)于證據(jù)洞來(lái)推遺理來(lái)翼做出雕誤用忠發(fā)生央判斷限結(jié)論濃。Gr伴av肚y和Li墾nt首先綢提出委這種慈方法窮。其館方法禍要點(diǎn)嶺是建筋立攻種擊劇熱本（At詢ta滾ck餅S淡ce逮na練ri腹os）數(shù)免據(jù)庫(kù)朋、預(yù)遵警器怨和規(guī)旗劃者賽。每次個(gè)攻醫(yī)擊劇寄本表椒示成符一個(gè)父攻擊厭行為蘋序列瀉，在環(huán)任意攝的給絮定時(shí)節(jié)刻，盜攻擊吊劇本幟的子蠢集都叮被用怪來(lái)推崇斷系轉(zhuǎn)統(tǒng)遭脖受入懷侵。田根據(jù)傍當(dāng)前筋的活偽動(dòng)模息型，詞預(yù)警倆器產(chǎn)草生下兔一步挨行為黑，用壺來(lái)在迅審計(jì)邁跟蹤戀時(shí)作趙驗(yàn)證藥使用趨。405.堡2.朽2異常遲入侵朵檢測(cè)異常抄檢測(cè)膠指的謀是根苦據(jù)非捷正常疾行為匙（系另統(tǒng)或武用戶丟）和石使用鐵計(jì)算純機(jī)資寺源非隸正常昌情況荷檢測(cè)貝出入障侵行通為。依例如妨，如番果用磨戶A早上8點(diǎn)鐘麥到下小午5點(diǎn)鐘顧之間螺在辦狼公室閘使用懲計(jì)算腐機(jī)，快則他與在晚鉆上使植用辦藍(lán)公室蜓計(jì)算簡(jiǎn)機(jī)是行異常箱的，釋就有筍可能季是入提侵；森用戶B總是字在下綿班后賣登錄寺到公謙司的返終端指服務(wù)幻玉器或芬是在殲深夜弱時(shí)來(lái)碌自B的賬稅號(hào)遠(yuǎn)蛾程登拐錄都切可能敢是不慕正常招的。覽異常握檢測(cè)宜試圖術(shù)用定森量方惠式描敞述常鄙規(guī)的遙或可臉接收無(wú)的行桃為，侵以標(biāo)纖記非逝常規(guī)氏的、規(guī)潛在繁的入被侵行板為。聚這種惡非?？椧?guī)的箱、潛糖在的尖入侵者行為輩可以住定義蛾為"威脅"。圖5.感6所示隱為異原常入逗侵檢獨(dú)測(cè)?？⌒汀?15.怖2.泊2異常危入侵徒檢測(cè)典型建的威虛脅模素型將油威脅巧分為皂外部慶闖入剛、內(nèi)鴉部滲厚透和表不當(dāng)旗行為3種類螺型，郵并使犁用這需種分搏類方逼法開各發(fā)了號(hào)一個(gè)睜安全份監(jiān)視敞系統(tǒng)知，可姻檢測(cè)撕用戶改的異犁常行校為。外部刪闖入掃指的貿(mào)是未肆經(jīng)授斯權(quán)計(jì)很算機(jī)權(quán)系統(tǒng)刮用戶菌的入失侵；內(nèi)部胞滲透掩是指的已授鏟權(quán)的廟計(jì)算耀機(jī)用送戶訪子問(wèn)未鑄經(jīng)授款權(quán)的碎數(shù)據(jù)交；不當(dāng)兵行為米指的泄是用蜜戶雖您經(jīng)授渾權(quán)，糕但對(duì)宣授權(quán)質(zhì)數(shù)據(jù)狐和資品源的腐使用斃不合倉(cāng)法或肆濫用口授權(quán)將。425.清2.生2異常芝入侵御檢測(cè)1.統(tǒng)計(jì)籍異常丙檢測(cè)吐方法統(tǒng)計(jì)辛異常敢檢測(cè)饑方法單根據(jù)伶異常灑檢測(cè)爽器觀專察主串體的讓活動(dòng)爆，然匪后產(chǎn)源生描磨述這酒些活舒動(dòng)行屢為的半?yún)?shù)省。每灶一個(gè)王參數(shù)帳保存貴記錄溝主體蜓當(dāng)前儉某種壟行為纖，并宏定時(shí)遲地將儀當(dāng)前四的參夜數(shù)與銅存儲(chǔ)哪的參繡數(shù)合俘并。銹通過(guò)男比較印當(dāng)前層的參倉(cāng)數(shù)與意已存語(yǔ)儲(chǔ)的恰參數(shù)排判斷績(jī)異?？恍袨橐埃瑥牡┒鴻z柄測(cè)出炕網(wǎng)絡(luò)犬入侵月。下逐面以ID里ES入侵去檢測(cè)仆系統(tǒng)挽為例高來(lái)說(shuō)善明一委般統(tǒng)殃計(jì)異問(wèn)常檢涌測(cè)方油法處爐理的扣過(guò)程鉛。設(shè)M1她,葬M2授,逃…,Mn為參更數(shù)集未的特預(yù)征變守量，拾這些宮變量匪可以何是CP鈴U的使亮用、I/貓O的使胸用、記使用峽地點(diǎn)肚及時(shí)脹間，律郵件包使用堂，文粘件訪暈問(wèn)數(shù)增量，婦網(wǎng)絡(luò)長(zhǎng)會(huì)話般時(shí)間脖等。憤用S1菊,濕S2煤,持…,Sn分別遠(yuǎn)表示惹參數(shù)束集中熟變量M1粉,信M2炭,洗…,Mn的異斯常測(cè)程量值萄。這插些值帶表明吉了異彩常程確度，羽若Si的值揚(yáng)越高渴，則惰表示Mi異常隸性就吳越大塔。將氧這些醒異常糖測(cè)量統(tǒng)值的般平方投后加舌權(quán)計(jì)爺算得及出參段數(shù)異驚常值俯：a1疊S1蛋2+冷a2用S2早2+刪…+址an五Sn辮2,ai>0。435.事2.揉2異常缸入侵冬檢測(cè)2.基于謠特征魚選擇泳異常登檢測(cè)蘇方法基于攏特征途選擇知異常舟檢測(cè)移方法落是通趴過(guò)從餓一組奏參數(shù)相數(shù)據(jù)父中挑距選能悼檢測(cè)鉛出入仿侵參孫數(shù)構(gòu)塑成子齡集來(lái)疼準(zhǔn)確碗地預(yù)狀測(cè)或僚分類雜已檢起測(cè)到曠的入廢侵。戒異常倚入侵營(yíng)檢測(cè)默的困罵難是顏在異挺常活怪動(dòng)和狗入侵奮活動(dòng)螞之間聲作出營(yíng)判斷節(jié)。判宿斷符稿合實(shí)城際的蔽參數(shù)壟很復(fù)桿雜，春因?yàn)閿篮线m踐地選問(wèn)擇參烏數(shù)子濁集依場(chǎng)賴于蹲檢測(cè)熔到的服入侵枯類型量，一弊個(gè)參擔(dān)數(shù)集捐對(duì)所蒜有的滴各種柿各樣默的入歸侵類余型不槍可能搶是足牌夠的符。預(yù)陷先確亦定特趕定的孕參數(shù)現(xiàn)來(lái)檢缸測(cè)入秀侵可劫能會(huì)之錯(cuò)過(guò)箭單獨(dú)敵的、集特別怨的環(huán)賺境下撤的入窩侵。某最理趴想的下檢測(cè)像入侵掉參數(shù)忌集必的須動(dòng)便態(tài)地韻決策天判斷糕以獲漫得最含好的僻效果冬。假往設(shè)與燃入侵耍潛在迫相關(guān)味的參嬌數(shù)有n個(gè)，衫則這n個(gè)參毫數(shù)構(gòu)距成的炭子集監(jiān)有2n個(gè)。鋒由于桐搜索被空間嶼同參否數(shù)是蕩指數(shù)天關(guān)系失，所嫩以窮娃盡尋獸找最浸理想爸的參另數(shù)子橋集的養(yǎng)開銷遠(yuǎn)太大唇。445.逃2.雄2異常床入侵豎檢測(cè)3.基于籠貝葉登斯推乖理異苦常檢浪測(cè)方抗法基于煤貝葉脆斯推牲理異允常檢口測(cè)方吊法是京通過(guò)扭在任敲意給全定的加時(shí)刻桐，測(cè)烏量A1，A2，…，An變量口值推點(diǎn)理判汪斷是歸否有府入侵捧事件血發(fā)生紹。其撿中每掘個(gè)Ai變量奸表示岸系統(tǒng)雕不同牙的方沙面特累征（困如磁厭盤I/恢O的活喚動(dòng)數(shù)抬量，狼或者最系統(tǒng)燭中頁(yè)掩面出看錯(cuò)的英數(shù)）渡。假?zèng)]定Ai變量聯(lián)具有透兩個(gè)茅值，1表示像是異仁常，0表示廈正常童。I表示膨系統(tǒng)遷當(dāng)前挪遭受偵入侵僵攻擊痕。每管個(gè)異搏常變?cè)O(shè)量Ai的異賄?？煽劭啃阅泻兔艚砀行月牱謩e現(xiàn)表示議為P(私Ai=1怎|I段)和P(至Ai=1低|┐屢I)。則斷在給速定每剖個(gè)Ai的條們件下毫，由糾貝葉薄斯定遼理得棚出I的可昨信度首，根狹據(jù)各羽種異廉常測(cè)沾量的主值、煮入侵損的先忘驗(yàn)概火率及繳入侵姑發(fā)生魔時(shí)每夫種測(cè)股量到爛的異瞎常概艱率，殃能夠現(xiàn)檢測(cè)頓判斷僵入侵霉的概剩率。洗但是爹為了簡(jiǎn)檢測(cè)展的準(zhǔn)叮確性更，還愚要必冠須考謙慮各但測(cè)量Ai間的量獨(dú)立伐性。455.駁2.瘋2異常俯入侵勝檢測(cè)4.基于泰貝葉洲斯網(wǎng)唐絡(luò)異組常檢踩測(cè)方貸法貝葉罷斯統(tǒng)郊計(jì)分矩析把牧先驗(yàn)廁信息訊與樣易本信攪息結(jié)答合，形用于威統(tǒng)計(jì)偽推斷勒之中拖。用濾貝葉蜘斯公軍式先晝驗(yàn)信懶息與賽樣本病信息雨綜合槍，得扛到后裳驗(yàn)信轟息。攀而得也到的起后驗(yàn)齒信息各又可癢以作匯為新團(tuán)一輪靠計(jì)算邁的先則驗(yàn)，示與進(jìn)秘一步服獲得軍的樣揉本信奔息綜蝦合，四求得言下一和個(gè)后堂驗(yàn)信羊息。片隨著仿這個(gè)賠過(guò)程論繼續(xù)館下去科，后皂驗(yàn)信允息確侍實(shí)是掙越來(lái)躁越接孕近于臥真值約。也牽就是少說(shuō)，彩貝葉允斯方扁法的鳴學(xué)習(xí)緒機(jī)制擱是確朽實(shí)存辣在而轎且有驚效的禁。這嚷個(gè)學(xué)鵲習(xí)的止過(guò)程粉實(shí)際籃上是牢一個(gè)濕迭代剃的過(guò)守程，稈數(shù)據(jù)竊統(tǒng)計(jì)侍工作酒者已梳經(jīng)證旦明這敬個(gè)過(guò)傾程是倚收斂島的，緩因?yàn)樯舆@樣遣得到指后驗(yàn)鳴分布赤密度脾有上廁界，隸而且希單調(diào)內(nèi)遞增零。這桌意味糖著它膠將收余斂于羽某個(gè)述值。465.免2.裂2異常霞入侵只檢測(cè)5.基于栗模式存預(yù)測(cè)氧異常廈檢測(cè)鐘方法基于臨模式割預(yù)測(cè)以異常躬檢測(cè)宇方法玻的假宋設(shè)條拆件是養(yǎng)事件攔序列尋不是卵隨機(jī)歲的，匪而是戚遵循扒可辨賠別的露模式防。這致種檢燈測(cè)方伐法的歌特點(diǎn)島是考補(bǔ)慮了擊事件什的序定列及形相互挎聯(lián)系落。而奇基于竭時(shí)間硬的推惕理方收法則炮利用狹時(shí)間隸規(guī)則腎識(shí)別陽(yáng)用戶面行為朱正常禽模式饒的特童征。乓通過(guò)逢歸納謊學(xué)習(xí)芹產(chǎn)生醒這些后規(guī)則訂集，紙能動(dòng)至態(tài)地縱修改弊系統(tǒng)棕中的取規(guī)則地，使劑之具盟有高圣的預(yù)叼測(cè)性冠、準(zhǔn)嫂確性述和可詠信度箏。如侵果規(guī)津則大初部分耽時(shí)間屬是正閘確的偷，并口能夠印成功嬸地運(yùn)牽用預(yù)障測(cè)所泊觀察家到的辯數(shù)據(jù)輕，那筆么規(guī)憂則就艙具有燒高的赴可信系度。475.載2.局2異常員入侵答檢測(cè)6.基于絲式神經(jīng)局網(wǎng)絡(luò)輕異常雨檢測(cè)災(zāi)方法基于債神經(jīng)牧網(wǎng)絡(luò)習(xí)入侵宏檢測(cè)新方法像是訓(xùn)隔練神貓經(jīng)網(wǎng)煌絡(luò)連垃續(xù)的盟信息顆單元廣，信飲息單塞元指窄的是際命令鹿。網(wǎng)辟絡(luò)的閣輸入夜層是矮用戶仆當(dāng)前訪輸入?yún)R的命巾令和濟(jì)已執(zhí)振行過(guò)冶的若浴干個(gè)譯（如S）個(gè)似命令枯；用旦戶執(zhí)密行過(guò)給的命久令被凈神經(jīng)殲網(wǎng)絡(luò)歲使用喇來(lái)預(yù)討測(cè)用炮戶輸活入的叫下一世個(gè)命銳令。嘆若神蠻經(jīng)網(wǎng)木絡(luò)被島訓(xùn)練艇成預(yù)排測(cè)用冬戶輸全入命許令序旦列集丈合，址則神鋒經(jīng)網(wǎng)翻絡(luò)就專構(gòu)成碧用戶字的輪就廓框月架。博當(dāng)用磨這個(gè)純神經(jīng)雜網(wǎng)絡(luò)攏預(yù)測(cè)始不出聰某用率戶正盈確的各后繼酸命令唯，即寨在某饒種程困度上葬表明簡(jiǎn)了用炸戶行憂為與削其輪響廓框易架的摧偏離耗，這咬時(shí)有小異常州事件艱發(fā)生傳，以摟此就異能進(jìn)臥行異瞇常入牛侵檢靈測(cè)。485.弦2.富2異常蠢入侵銜檢測(cè)7.基于屋貝葉常斯聚船類異乒常檢怎測(cè)方員法基于休貝葉石斯聚臂類異仇常檢氣測(cè)方膚法通碎過(guò)在京數(shù)據(jù)魔中發(fā)祖現(xiàn)不厘同類趙別數(shù)為據(jù)集火合，欠這些雙類反窗映了極基本界的因生果機(jī)對(duì)制（稈同類丙的成轎員比液其他侄的更麻相似捆），挪以此史就可博以區(qū)景分異羽常用漂戶類飽，進(jìn)膠而推減斷入孕侵事蕩件發(fā)槐生來(lái)聯(lián)檢測(cè)添異常筍入侵慰行為朋。Ch響ee喇se聾ma導(dǎo)n和St烤ut哈z在19蹦95年開惑發(fā)的議自動(dòng)賭分類揮程序痕（Au皇to螺cl惹as撞sPr駕og宇ra緩m）是欺一種祝無(wú)監(jiān)散督數(shù)食據(jù)分告類技鐘術(shù)。495.危2.趣2異常勵(lì)入侵炮檢測(cè)8.基于直機(jī)器閘學(xué)習(xí)限異常敢檢測(cè)忍方法這種等異常蛇檢測(cè)因方法銳通過(guò)斷機(jī)器給學(xué)習(xí)波實(shí)現(xiàn)散入侵剪檢測(cè)付，其貍主要箱的方丟法有砍死記菌硬背爺式、影監(jiān)督扛、學(xué)咽習(xí)、塊歸納挪學(xué)習(xí)悼（示騾例學(xué)刑習(xí)）弄、類徹比學(xué)攻習(xí)等倉(cāng)。Te凱rr壤an和Ca拌rl宅aE.齒Br群od銷le彈y將異飾常檢蘿測(cè)問(wèn)差題歸特結(jié)為狹根據(jù)遺離散察數(shù)據(jù)克臨時(shí)搬序列顧學(xué)習(xí)桿獲得王個(gè)體費(fèi)、系暖統(tǒng)和宰網(wǎng)絡(luò)漸的行槐為特凱征，御并提隱出一參個(gè)基傍于相男似度律實(shí)例務(wù)學(xué)習(xí)萬(wàn)方法爸（IB很L），報(bào)該方虜法通歸過(guò)新釘?shù)男蚓狭邢嗬人贫嚷∮?jì)算外將原外始數(shù)們據(jù)（拌如離遮散事穩(wěn)件流巖、無(wú)酷序的液記錄紛）轉(zhuǎn)視化成禿可度膚量的法空間云。505.螺2.團(tuán)2異常映入侵軟檢測(cè)9.基于妄數(shù)據(jù)猶采掘限異常至檢測(cè)供方法計(jì)算照機(jī)聯(lián)港網(wǎng)導(dǎo)監(jiān)致大煩量審?fù)掠?jì)記伍錄，世而且陰審計(jì)餃記錄天大多謊是以洋文件忌形式骨存放恥。若剩單獨(dú)較依靠愚手工枝方法籃去發(fā)項(xiàng)現(xiàn)記升錄中饅的異戚?，F(xiàn)會(huì)象是對(duì)不夠先的，蟻往往躺操作項(xiàng)不便燦，不冒容易要找出舞審計(jì)裝記錄周間相檔互關(guān)躬系。We伍nk即ele鉤e和Sa杰lv糠at橫or硬e赤J.St薦ol廢fo將數(shù)伍據(jù)采徹掘技祥術(shù)應(yīng)頓用到崖入侵初檢測(cè)奧研究納領(lǐng)域港中，像從審低計(jì)數(shù)寬據(jù)或受數(shù)據(jù)術(shù)流中款提取飛感興究趣的以知識(shí)吳，這厭些知隸識(shí)是哲隱含槽的、追事先親未知防的潛謀在有調(diào)用信沉息，油提取踏的知跨識(shí)表塘示為呈概念決、規(guī)墨則、喂規(guī)律晶、模季式等笛形式犬，并懶用這筍些知胞識(shí)去露檢測(cè)獵異常永入侵塑和已溜知入推侵。財(cái)基于插數(shù)據(jù)犯采掘縣異常恨檢測(cè)桂方法玩目前行已有東現(xiàn)成饒的算覺(jué)法可肉以借井用，限這種饅方法貧的優(yōu)喘點(diǎn)在塵于適微應(yīng)處銷理大攻量數(shù)竿據(jù)情黃況。叛但是寧，對(duì)垮于實(shí)蹤蝶時(shí)入挑侵檢追測(cè)則殖還存代在問(wèn)塘題，搭需要唉開發(fā)喬出有江效的敬數(shù)據(jù)透采掘輛算法慮和適料應(yīng)的座體系偏。515.安3秩ID歷S的標(biāo)菠準(zhǔn)化5.怕3.曲1蓄I(lǐng)D紅S標(biāo)準(zhǔn)位化進(jìn)印展現(xiàn)塞狀為了肅提高ID錘S產(chǎn)品壯、組扯件及匹與其弄他安矛全產(chǎn)疾品之紀(jì)間的幅互操靠作性賞，美龍國(guó)國(guó)械防高揭級(jí)研景究計(jì)惕劃署恐（DA溜RP檢A）和席互聯(lián)單網(wǎng)工厭程任吼務(wù)組處（IE蹦TF）的呼入侵起檢測(cè)抵工作設(shè)組（ID寬WG）發(fā)您起制便訂了樸一系涌列建撇議草夫案，號(hào)從體庭系結(jié)愈構(gòu)、AP滿I、通膝信機(jī)是制、陶語(yǔ)言渾格式缺等方槐面規(guī)拴范ID姿S的標(biāo)棒準(zhǔn)。DA近RP艦A提出燃的建委議是即公共狗入侵才檢測(cè)刷框架項(xiàng)（CI脖DF），榨最早心由加允州大烏學(xué)戴樂(lè)維斯嶄分校日安全母實(shí)驗(yàn)伴室主棒持起酬草工赤作。19夜99年6月，ID思WG就入衡侵檢駁測(cè)也宵出臺(tái)頑了一狹系列碰草案抄。但山是，蒼這兩倚個(gè)組夢(mèng)織提伍出的批草案肚或建從議目彩前還停正處偏于逐策步完縫善之享中，揀尚未詢被采克納為應(yīng)廣泛街接收點(diǎn)的國(guó)仙際標(biāo)獎(jiǎng)準(zhǔn)。缸不過(guò)剝，它爭(zhēng)們?nèi)再|(zhì)是入汽侵檢治測(cè)領(lǐng)潛域最蛇有影秘響力堂的建福議，鼻成為枝標(biāo)準(zhǔn)炸只是情時(shí)間亞問(wèn)題牙。525.拴3逗ID點(diǎn)S的標(biāo)蓋準(zhǔn)化5.么3.層2入侵塘檢測(cè)撞工作泛組ID浩WG的任傘務(wù)是啟：定螺義數(shù)亭據(jù)格短式和莖交換失規(guī)程芽，用師于入雅侵檢重測(cè)與貫響應(yīng)炭（ID呀R）系辣統(tǒng)之誕間或贏與需點(diǎn)要交孝互的甘管理府系統(tǒng)瘋之間售的信冬息共培享。ID聽WG提出傅的建就議草洗案包緞括3部分蘭內(nèi)容漆：入尾侵檢顛測(cè)消玩息交減換格吹式（ID泡ME勝F）、全入侵座檢測(cè)景交換阻協(xié)議孔（ID鉆XP）以欺及隧峽道輪秘廓（Tu盲nn寶el謎P軟ro勝fi姿le）。1、ID開ME堂FID意ME中F描述免了表鵝示入賊侵檢唐測(cè)系冶統(tǒng)輸折出信本息的皂數(shù)據(jù)吧模型漆，并畢解釋賤了使皇用此辛模型打的基獎(jiǎng)本原員理。爭(zhēng)該數(shù)判據(jù)?；蛐陀肵M貼L實(shí)現(xiàn)鏟，并含設(shè)計(jì)謝了一傳個(gè)XM造L文檔棗類型寺定義逐。自序動(dòng)入改侵檢伍測(cè)系盟統(tǒng)可龜以使膀用ID賭ME運(yùn)F提供物的標(biāo)靈準(zhǔn)數(shù)稿據(jù)格顧式對(duì)娘可疑泰事件塌發(fā)出標(biāo)警報(bào)位，提秘高商藝業(yè)、疤開放撈資源禮和研田究系廚統(tǒng)之暑間的月互操仇作性墻。ID浩ME辰F最適南用于否入侵千檢測(cè)儉分析兼器（簡(jiǎn)或稱種為“綠探測(cè)途器”佳）和梯接收唐警報(bào)判的管梯理器形（或鵲稱為腔“控都制臺(tái)疾”）景之間伐的數(shù)際據(jù)信含道。535.這3語(yǔ)ID旁S的標(biāo)夜準(zhǔn)化(1興)芹ID燈ME朝F的數(shù)晝據(jù)模悟型ID騙ME功F數(shù)據(jù)寸模型熊以面鍛向?qū)T象的銜形式末表示抓探測(cè)虹器傳郊遞給怨控制惕臺(tái)的社警報(bào)信數(shù)據(jù)田，設(shè)舊計(jì)數(shù)確據(jù)模概型的惹目標(biāo)左是為義警報(bào)吹提供下確定蒜的標(biāo)侄準(zhǔn)表圍達(dá)方信式，驕并描盞述簡(jiǎn)道單警倦報(bào)和滑復(fù)雜個(gè)警報(bào)捕之間助的關(guān)秒系。ID慨ME壘F數(shù)據(jù)幻玉模型俊各個(gè)誤主要滔部分榮之間膝的關(guān)炕系如百圖5.懶7所示益。545.謊3延ID數(shù)S的標(biāo)巷準(zhǔn)化所有ID掃M(jìn)E展F消息珍的最丟高層考類是ID錫ME穿F-蛋Me利ss味ag棋e(cuò)，每參一種長(zhǎng)類型伙的消濤息都影是該芳類的漆子類采。ID麻ME案F目前戴定義戰(zhàn)了兩平種類嚴(yán)型的練消息竄：Al竹er單t（警依報(bào)）揭和He挺ar腳tb容ea部t（心沿跳）噸，這蚊兩種瘡消息腔又分余別包座括各磨自的末子類凡，以葉表示廊更詳輕細(xì)的帆消息僵。需要破注意贊的是眠，ID敘ME鞠F數(shù)據(jù)脅模型柏并沒(méi)睬有對(duì)摔警報(bào)蜘的分仆類和杠鑒別剪進(jìn)行派說(shuō)明棚。例早如，被對(duì)一斜個(gè)端護(hù)口的承掃描赴，一仇個(gè)分血析器韻可能交將其哭確定熄為一盆個(gè)多衫目標(biāo)扛的單戀一攻擦擊，珠而另距一個(gè)再分析順器可湯能將卸其確友定為促來(lái)自匠同一頭個(gè)源教的多胡次攻能擊。尚只有全一個(gè)艘分析獎(jiǎng)器決買定了庫(kù)發(fā)送落的警綿報(bào)類幕型，褲數(shù)據(jù)績(jī)模型輛才能竟規(guī)定宴怎樣法對(duì)這繭個(gè)警蕉報(bào)進(jìn)柄行格最式化宏。ID潛ME粗F數(shù)據(jù)翼模型浮是用載統(tǒng)一報(bào)建模沾語(yǔ)言遮（UM答L）描導(dǎo)述的角。UM撿L用一循個(gè)簡(jiǎn)筑單的泥框架礦表示簡(jiǎn)實(shí)體屯以及杠它們警之間謊的關(guān)傲系，誼并將突實(shí)體不定義咐為類義。ID漢ME沈F包括傳的主腸要類從有ID替ME掩F-胖Me訪ss經(jīng)ag螺e類、Al識(shí)er淘t類、He敬ar臣tb混ea慶t類、Co驢re類、Ti頌me類和Su驗(yàn)pp倡or擦t類，束這些午類還飛可以答再細(xì)偶分為溜許多勉子類垃。555.墓3棚ID缺S的標(biāo)視準(zhǔn)化(2絮)使用XM鉗L描述ID痰ME旁F文檔挖標(biāo)記ID奧WG最早下曾提磁出兩房誠(chéng)個(gè)建滲議實(shí)始現(xiàn)ID氏ME泉F：用SM蔬I（管呈理信好息結(jié)濱構(gòu)）此描述組一個(gè)SN栽MP啊M粥IB和使累用DT灶D（文焦檔類硬型定勉義）香描述XM悲L文檔丘。ID譯WG在19應(yīng)99年9月和20都00年2月分迫別對(duì)產(chǎn)這兩晶個(gè)建宮議進(jìn)災(zāi)行了經(jīng)評(píng)估虹，認(rèn)針為XM凳L最能杠符合ID痰ME牲F的要勺求，揪于是你，在20終00年2月的莊會(huì)議稀上決偵定采范用XM棗L方案真。565.冷3峽ID敵S的標(biāo)都準(zhǔn)化2、ID言XPID些XP（入遍侵檢嶺測(cè)交每換協(xié)廈議）徑是一股個(gè)用其于入蝕侵檢貸測(cè)實(shí)皮體之晌間交唐換數(shù)靈據(jù)的艷應(yīng)用刊層協(xié)泉議，異能夠貝實(shí)現(xiàn)ID蜻M(jìn)E退F消息氧、非尾結(jié)構(gòu)萄文本擇和二宰進(jìn)制她數(shù)據(jù)午之間觀的交辦換，羊并提滔供面絞向連減接協(xié)權(quán)議之魯上的貼雙方號(hào)認(rèn)證景、完欠整性靜和保叼密性挺等安謀全特綁征。ID往XP是BE能EP的一箱部分痕，后賞者是雷一個(gè)梁用于悟面向宋連接變的異霸步交陶互通防用應(yīng)郊用協(xié)滾議，ID筑XP的許詢多特簡(jiǎn)色功裕能（桌如認(rèn)映證、駝保密繁性等拆）都錯(cuò)是由BE救EP框架掌提供恒的。ID斯XP模型跨如下刪：575.唯3.慚3公共些入侵僵檢測(cè)圾框架公共蒼入侵迷檢測(cè)廣框架(C戲ID暑F)所做資的工腔作主見要包臂括4部分亂：ID腫S的體六系結(jié)盆構(gòu)、梢通信單機(jī)制怎、描天述語(yǔ)肚言和貓應(yīng)用斧編程消接口AP親I。1．CI倘DF的體引系結(jié)忽構(gòu)CI抱DF在ID欄ES和NI痛DE蟻S的基曉礎(chǔ)上蕩提出郊了一窗個(gè)通竭用模莊型，因?qū)⑷雮謾z盛測(cè)系諷統(tǒng)分米為4個(gè)基李本組架件：藍(lán)事件畫產(chǎn)生駕器、紀(jì)事件脊分析快器、或響應(yīng)蔬單元講和事押件數(shù)炒據(jù)庫(kù)類。結(jié)求構(gòu)如臭圖5.質(zhì)11所示寄。在這呈個(gè)模剪型中買，事襲件產(chǎn)飛生器染、事訂件分哀析器階和響逆應(yīng)單為元通播常以翻應(yīng)用叉程序迅的形航式出團(tuán)現(xiàn)，昂而事題件數(shù)司據(jù)庫(kù)憑則往伶往是栗文件粱或數(shù)蟲據(jù)流然的形元式，厚很多ID套S廠商寇都以糧數(shù)據(jù)曾收集臨部分寨、數(shù)春據(jù)分煩析部井分和欲控制腰臺(tái)部級(jí)分3個(gè)術(shù)援語(yǔ)來(lái)畏分別歇代替友事件擁產(chǎn)生碗器、頭事件自分析持器和成響應(yīng)亂單元位。CI胖DF將ID愈S需要甲分析泡的數(shù)凍據(jù)統(tǒng)避稱為音事件股，它章可以燙是網(wǎng)趣絡(luò)中姜的數(shù)給據(jù)包吉，也百可以迅是從曬系統(tǒng)誘日志舟或其琴他途悔徑得祥到的毛信息程。585.鋸3.變3公共分入侵壯檢測(cè)魄框架公共邪入侵然檢測(cè)看框架(C病ID耕F)所做乎的工爪作主擺要包貪括4部分胳：ID餃S的體娛系結(jié)著構(gòu)、拍通信甩機(jī)制薯、描讓述語(yǔ)泥言和薄應(yīng)用管編程青接口AP禮I。595.進(jìn)3.學(xué)3公共階入侵騾檢測(cè)朵框架(1途)事件消產(chǎn)生月器事件奔產(chǎn)生枝器的盛任務(wù)罵是從鄙入侵賊檢測(cè)逝系統(tǒng)夢(mèng)之外闖的計(jì)研算環(huán)料境中棵收集微事件再，并在將這易些事焦件轉(zhuǎn)覽換成CI餅DF的GI叫DO格式百傳送系給其俱他組蒸件。煤例如違，事天件產(chǎn)乓生器叛可以愉是讀攀取C2級(jí)審和計(jì)蹤扒跡并富將其但轉(zhuǎn)換廉為GI慢DO格式少的過(guò)鑼濾器效，也砌可以叨是被羨動(dòng)地電監(jiān)視廁網(wǎng)絡(luò)蒼并根薯?yè)?jù)網(wǎng)隆絡(luò)數(shù)忍據(jù)流控產(chǎn)生絲式事件煉的另葵一種耽過(guò)濾走器，絮還可斬以是SQ倒L數(shù)據(jù)猾庫(kù)中漁產(chǎn)生導(dǎo)描述傷事務(wù)蘋的事童件的杏應(yīng)用最代碼龍。605.好3.脖3公共狹入侵訊檢測(cè)遍框架(2托)事件找分析慢器事件棟分析膀器分卵析從呀其他擦組件混收到診的GI仇DO刷,并將灣產(chǎn)生反的新GI洞DO再傳課送給垂其他室組件裹。分踐析器途可以烤是一蠢個(gè)輪仔廓描讀述工柔具，繞統(tǒng)計(jì)友性地說(shuō)檢查逗現(xiàn)在射的事扛件是描否可烤能與柄以前鳴某個(gè)浩事件被來(lái)自犯同一扭個(gè)時(shí)趟間序那列;也可農(nóng)以是族一個(gè)貨特征縮慧檢測(cè)矩工具靈，用蜓于在孟一個(gè)樓事件項(xiàng)序列以中檢致查是萄否有詢已知若的濫猜用攻棚擊特繡征；約此外朗，事上件分樣析器榆還可僚以是艦一個(gè)僅相關(guān)夏器，欣觀察擦事件德之間欺的關(guān)數(shù)系，優(yōu)將有植聯(lián)系認(rèn)的事匹件放絲式到一攻起，支以利拳于以算后的哪進(jìn)一無(wú)步分亮析。(3鞏)事件乖數(shù)據(jù)竿庫(kù)事件幫數(shù)據(jù)干庫(kù)用離來(lái)存繪儲(chǔ)GI蟻DO，以帶備系準(zhǔn)統(tǒng)需沫要的酷時(shí)候酬使用門。(4課)響應(yīng)鴨單元響應(yīng)遠(yuǎn)單元喪處理待收到亮的GI奪DO，并慚據(jù)此反采取逼相應(yīng)銹的措轎施，歉如殺圣死相駛關(guān)進(jìn)濃程、腦將連短接復(fù)送位、科修改葛文件顫?rùn)?quán)限期等。615.生3.銀3公共磁入侵虛檢測(cè)坊框架2、CI殺DF的通愧信機(jī)這制為了助保證仇各個(gè)酬組件晶之間史安全備、高許效地沫