網(wǎng)絡(luò)安全復(fù)習(xí)文檔詳解

1、 網(wǎng)絡(luò)安全概述含義從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全內(nèi)容方面：網(wǎng)絡(luò)實體安全、軟件安全、數(shù)據(jù)安全、安全管理安全屬性方面：保密性、完整性、可用性、可控性、可審查性安全因素網(wǎng)絡(luò)系統(tǒng)自身的脆弱性：硬件系統(tǒng)、軟件系統(tǒng)、網(wǎng)絡(luò)和通信協(xié)議（包括：缺乏用戶身份鑒別機(jī)制、缺乏路由協(xié)議鑒別認(rèn)證機(jī)制、缺乏保密性、TCP/IP服務(wù)的脆弱性）安全威脅：1：網(wǎng)絡(luò)安全的基本威脅：信息泄露、完整性破壞、服務(wù)拒絕、未授權(quán)訪問2：安全威脅的來源：內(nèi)部操作不當(dāng)、內(nèi)部管理漏洞（最難防范）、外部威脅和犯罪（黑客攻擊、計算機(jī)病毒和拒絕服務(wù)攻擊）網(wǎng)絡(luò)攻擊的類型攻擊方式分類：1：被動攻擊：指攻擊者實施竊聽、監(jiān)聽，但不修改通信信息，攻擊者的目的是獲取正在傳輸?shù)男畔ⅲ瑱z測困難。因此強(qiáng)調(diào)阻止而不是檢測2：主動攻擊：指攻擊者對數(shù)據(jù)流的某些修改，或者生成一個假的數(shù)據(jù)流。（包括：偽裝、回答、修改報文、拒絕服務(wù)）被動攻擊難以檢測，可以阻止，而主動攻擊難以絕對阻止，可采取檢測的方法，兩者正好相反安全屬性分類：截取攻擊：得到資源的訪問，針對保密性的攻擊阻斷攻擊：使系統(tǒng)資源被破壞，針對可用性的攻擊篡改攻擊：不僅能夠訪問資源，而且能夠修改信息，針對完整性的攻擊偽造攻擊：能夠在系統(tǒng)中插入偽造的信息，針對真實性的攻擊網(wǎng)絡(luò)攻擊的常見形式1：口令入侵：大多數(shù)系統(tǒng)是由口令來維護(hù)其安全的， 可通過口令來驗證用戶身份。 網(wǎng)絡(luò)攻擊往往把目標(biāo)口令的破解作為對目標(biāo)系統(tǒng)攻擊的開始2：病毒、蠕蟲和特洛伊木馬：蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒：特洛伊木馬可以直接侵入目標(biāo)主機(jī)并進(jìn)行破壞。 它與其他病毒的重大區(qū)別是特洛伊木馬并不像其他病毒那樣復(fù)制自身，要使特洛伊木馬傳播，必須在計算機(jī)上有效地啟用木馬程序。3：拒絕服務(wù)攻擊：Dos其目的就是拒絕用戶的服務(wù)訪問，破壞組織的正常運行。DDoS是基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，其主要攻擊對象是比較大的站點，具有較大的破壞性。4：【其他】網(wǎng)絡(luò)監(jiān)聽、 IP欺騙、安全漏洞攻擊、網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊往往是以上攻擊方式的混合型網(wǎng)絡(luò)安全層次結(jié)構(gòu)包括：物理層、數(shù)據(jù)鏈路層（

在

Internet

環(huán)境中它并不完全適用

）、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層（

并沒有一個統(tǒng)一的解決方案）網(wǎng)絡(luò)安全策略：物理安全策略、訪問控制策略、防火墻控制策略、入侵防范策略、信息加密策略（包括：鏈路加密、端到端加密）、網(wǎng)絡(luò)備份策略、網(wǎng)絡(luò)安全管理策略訪問控制策略：（重要

3點）1：入網(wǎng)訪問控制：賬號的識別與驗證、密碼的識別與驗證、用戶賬號的默認(rèn)限制檢查（ 三個步驟缺一不可2：網(wǎng)絡(luò)的權(quán)限控制：實現(xiàn)方式（包含：受托者指派、繼承權(quán)限屏蔽） ；權(quán)限用戶分類（包含：特殊用戶、一般

）用戶、審計用戶）3：目錄級安全控制：用戶在目錄一級指定的權(quán)限對所有文件和子目錄都有效（權(quán)限包含：讀、寫、刪、改等）網(wǎng)絡(luò)備份策略：現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)并不能保證網(wǎng)絡(luò)的絕對安全（需要備份的原因）網(wǎng)絡(luò)安全管理策略：1：安全管理的目標(biāo)：網(wǎng)絡(luò)安全的根本目標(biāo)是保證網(wǎng)絡(luò)和系統(tǒng)的可用性了解網(wǎng)絡(luò)和用戶的行為、對網(wǎng)絡(luò)和系統(tǒng)的安全性進(jìn)行評估、確保訪問控制策略的實施2：安全管理的內(nèi)容：網(wǎng)絡(luò)安全規(guī)劃、網(wǎng)絡(luò)安全管理機(jī)構(gòu)、網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)絡(luò)安全教育等基本元素：硬件、軟件、數(shù)據(jù)、人員、文檔、易耗品3：安全管理的原則：多人負(fù)責(zé)原則、任期有限原則、職責(zé)分離原則4：安全管理的實現(xiàn)：確定系統(tǒng)的安全等級、據(jù)安全等級，確定安全管理范圍、制定相應(yīng)的機(jī)房出入管理制度、制定嚴(yán)格的操作規(guī)程、制定完備的系統(tǒng)維護(hù)制度、制定應(yīng)急措施安全的歷史回顧通信安全、計算機(jī)安全、網(wǎng)絡(luò)安全計算機(jī)安全的五個等級：自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗證保護(hù)級2、 密碼技術(shù)概述基本分類：編碼學(xué)（密碼學(xué)）：研究密碼變化的客觀規(guī)律，用于編制密碼以保守通信秘密破譯學(xué)（密碼分析學(xué)）：在一定條件下采取技術(shù)手段，截取密文分析，求得明文，還原密碼編制的過程。明文：信息的原始形式 (Plaintext,記為P)密文：明文經(jīng)過變換加密后的形式 (Ciphertext,記為C)加密：由明文變成密文的過程稱為加密 (Enciphering,記為E)解密：由密文還原成明文的過程稱為解密 (Deciphering,記為D)密鑰：為了有效地控制加密和解密算法的實現(xiàn)的信息 (Key,記為K)密碼技術(shù)分類：按執(zhí)行的操作方式不同：替換密碼技術(shù)、換位密碼技術(shù)按收發(fā)雙方使用的密鑰是否相同： 對稱密碼(單鑰密碼)、非對稱密碼 (雙鑰密碼或公鑰密碼對稱密碼（指加密解密用同一組密鑰的算法） ，其安全依賴于：

)加密算法的強(qiáng)度必須足夠大加密算法的安全性依賴于密鑰的秘密性，而不是算法的秘密性典型代表：古典密碼技術(shù)，序列密碼技術(shù)和分組密碼技術(shù) (如DES、IDEA、AES等)非對稱密碼技術(shù)：指加密解密用不同密鑰的算法傳統(tǒng)的加密方法（習(xí)題重點）分為：替換密碼技術(shù)、換位密碼技術(shù)替換密碼：1：單字符單表：乘法密碼技術(shù)：加密： Ek(ai)=aj，j=i·k(modn)，gcd(k,n)=1，解密：Dk(aj)=ai,i=jk-1(mod·n)移位替換密碼技術(shù)：加密： Ek(ai)=aj，j=(i+k)(modn)，0<k<n，解密：Dk(aj)=ai,i=(j-k)(modn)=(j+(n-k))(modn)密鑰字密碼技術(shù)：對于英文單詞，密鑰字最多可以有 26!≈4×1026個不同的替換表2：單字符多表換位密碼技術(shù)1：列換位法：將明文字符分割成若干個(例如5個)兩列的分組，并按一組后面跟著另一組的形式排好，最后，不全的組用不常值填滿2：矩陣換位法：明文中的字母按給定的順序安排在一個矩陣中，然后用另一種順序選出矩陣的字母來產(chǎn)生密文數(shù)據(jù)加密標(biāo)準(zhǔn)加密算法(EncryptionAlgorithm)—密碼員對明文進(jìn)行加密時采用的一組規(guī)則解密算法(DecryptionAlgorithm)—接受者對密文進(jìn)行解密時采用的一組規(guī)則數(shù)據(jù)加密標(biāo)準(zhǔn)：DES算法是對稱的，既可用于加密，又可用于解密國際數(shù)據(jù)加密標(biāo)準(zhǔn)：將IPES(ImprovedProsedEncryptionStandard，改進(jìn)型建議加密標(biāo)準(zhǔn))改為IDEA，明文和密文的分組長度都是64位，密鑰長128位高級加密標(biāo)準(zhǔn)：加密算法 Rijndael，它符合 AES的要求(密鑰長度是可變的 )，有AES-128、AES-192、AES-256密鑰管理和分配密鑰分配是密鑰管理中最大的問題之一，它必須通過方式（密鑰自動分配）

最安全的通路 進(jìn)行分配。包括網(wǎng)絡(luò)外分配方式、網(wǎng)絡(luò)內(nèi)分配數(shù)字簽名與數(shù)字證書通信過程中雙方的多種形式的欺騙或偽造：發(fā)送方否認(rèn)自己發(fā)送過來某一消息接收方自己偽造一個消息，并聲稱來自發(fā)送方網(wǎng)絡(luò)上某個用戶冒充另一個用戶接收或發(fā)送消息接收方對收到的信息進(jìn)行篡改簽名應(yīng)滿足的要求：可信的、不可偽造的、不可復(fù)制的、簽名的消息是不可改變的、不可抵賴的數(shù)字簽名必須保證的三點：接收者能夠核實發(fā)送者對報文的簽名發(fā)送者事后不能抵賴對報文的簽名接收者不能偽造對報文的簽名數(shù)字證書的重要意義：信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性數(shù)字證書的原理：數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密通過數(shù)字的手段保證加密的過程是一個不可逆的過程，即只有用私有密鑰才能解密采用數(shù)字簽名，能夠確認(rèn)以下兩點：信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件證書與證書授權(quán)中心：承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任數(shù)字證書的應(yīng)用：傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，行政辦公、教育科研單位、保險、醫(yī)療等系統(tǒng)計算機(jī)網(wǎng)絡(luò)加密技術(shù)加密指通過加密機(jī)制，把各種原始的數(shù)字信號 (明文)按某種特定的加密算法變換成與明文完全不同的數(shù)字信息 (密文)的過程。網(wǎng)絡(luò)加密包括：鏈路加密、節(jié)點加密、端對端加密鏈路加密：一旦在一條線路上采用鏈路加密，往往需要在全網(wǎng)內(nèi)都采用鏈路加密鏈路加密時，報文和報頭都應(yīng)加密分類：異步通信加密、同步通信加密（字節(jié)同步通信加密、位同步通信加密）端對端加密：在中間節(jié)點和有關(guān)安全模塊內(nèi)永遠(yuǎn)不會出現(xiàn)明文。成本低、比鏈路加密安全、加密方式靈活。3、 公鑰密碼體制在歷史上，分發(fā)密鑰往往是絕大多數(shù)密碼系統(tǒng)中最薄弱的環(huán)節(jié)公鑰基礎(chǔ)結(jié)構(gòu)公鑰密碼證書管理、黑名單發(fā)布和管理、密鑰的備份和恢復(fù)、自動更新密鑰、自動管理歷史密鑰、支持交叉認(rèn)證安全需求：保密性—保證信息的私有性、完整性—保證信息沒有被篡改、真實性—證明一個人或一個應(yīng)用的身份不可否認(rèn)性—保證信息不能被否認(rèn)PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰理論和技術(shù)建立的可提供安全服務(wù)的基礎(chǔ)設(shè)施PKI的內(nèi)容：認(rèn)證中心 CA（它具有唯一性 ）、注冊中心 RA（整個網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié) ）、證書發(fā)布庫、密鑰備份及恢復(fù)、證書撤銷、 PKI應(yīng)用接口密鑰備份和恢復(fù)：只能針對加 /解密密鑰，對簽名密鑰則不能做備份證書撤銷兩種方式：利用周期性的發(fā)布機(jī)制（如證書撤銷列表） 、在線查詢機(jī)制（如在線證書狀態(tài)協(xié)議）PKI的應(yīng)用及展望：虛擬專用網(wǎng)絡(luò)、安全電子郵件、 Web安全、應(yīng)用編程接口4、 網(wǎng)絡(luò)攻擊原理黑客攻擊網(wǎng)絡(luò)已成為網(wǎng)絡(luò)不安全的主要原因口令破解技術(shù)原理口令破解的方法：掃描工具找出用戶賬號，然后窮舉生成大量密碼，通過程序提交數(shù)據(jù)申請進(jìn)入系統(tǒng)，失敗就尋找系統(tǒng)薄弱環(huán)節(jié)找到口令存儲文件，使用密碼破解器破解?？诹钇平馄鳎嚎诹钇平馄魇且粋€程序，它能將口令解釋出來或者讓口令保護(hù)失效?？诹钇平馄饕话悴⒉皇钦嬲厝ソ獯a，而是嘗試通過已知算法來嘗試。軟件破解可分為：修改安裝程序、算法嘗試。候選口令產(chǎn)生：從一個字典里讀取一個單詞、用枚舉法來產(chǎn)生這樣的單詞，為了便于協(xié)同破解密碼，常常需要為密碼產(chǎn)生器指定產(chǎn)生密碼的范圍危險的口令：用戶名作為口令、用戶名的變換形式作為口令、自己或者親友的生日作為口令、常用的英文單詞作為口令、5位或5位以下的字符作為口令網(wǎng)絡(luò)嗅探技術(shù)原理普遍的安全威脅來自于內(nèi)部，同時這些威脅通常都是致命的，其破壞性也遠(yuǎn)大于外部威脅至少支持的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)、TCP/IP、IPXDECnet、FDDIToken、微波和無線網(wǎng)嗅探器分軟、硬兩種：軟件的便宜且易于使用，缺點是往往無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)，硬件的稱為協(xié)議分析儀，它的優(yōu)點恰恰是軟件的欠缺的，但是其價格昂貴，目前 主要使用軟件嗅探器。危害：能夠捕獲口令、能夠捕獲專用的或者機(jī)密的信息、可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限、分析網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)行網(wǎng)絡(luò)滲透安全防范：檢測嗅探器、隱藏數(shù)據(jù)檢測嗅探器通常有兩條經(jīng)驗：網(wǎng)絡(luò)通信丟包率非常高、網(wǎng)絡(luò)帶寬出現(xiàn)反常隱藏數(shù)據(jù)（被動的防御措施） ：安全的拓?fù)浣Y(jié)構(gòu)、會話加密、采用靜態(tài)的

ARP或者

IP-MAC對應(yīng)表網(wǎng)絡(luò)端口掃描技術(shù)原理原理：端口掃描向目標(biāo)主機(jī)的 TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)，來判斷端口是否打開。常用掃描方式：經(jīng)典的掃描器 (全連接)、SYN(半連接)掃描器、間接掃描、秘密掃描認(rèn)證掃描和代理掃描：認(rèn)證掃描是利用認(rèn)證協(xié)議、代理掃描利用其它軟件的協(xié)議的弱點（ FTP協(xié)議）其它掃描：1：Ping掃描：真實掃描， TCPPing（發(fā)送特殊 TCP包到打開且未過濾的端口，如 80）2：安全掃描器：檢測主機(jī)是否允許匿名登錄、某種網(wǎng)絡(luò)服務(wù)是否需要認(rèn)證、是否存在已知安全漏洞3：棧指紋掃描：根據(jù)安全漏洞與缺陷都與操作系統(tǒng)的關(guān)系來判斷4：常用端口掃描命令： Ping、Tracert緩沖區(qū)溢出技術(shù)原理程序試圖將數(shù)據(jù)放到計算機(jī)內(nèi)存中的某一位置但沒有足夠的空間時，就會發(fā)生緩沖區(qū)溢出。單單緩沖區(qū)溢出并不會產(chǎn)生安全問題 ，只有將溢出數(shù)據(jù)送到能夠以 root權(quán)限運行命令的區(qū)域才會產(chǎn)生安全問題拒絕服務(wù)攻擊技術(shù)原理其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)常見方式：計算機(jī)帶寬攻擊（極大的通信量沖擊網(wǎng)絡(luò)，導(dǎo)致合法的用戶無法訪問） 、連通性攻擊（耗盡系統(tǒng)資源）拒絕服務(wù)的類型：試圖破壞資源，使目標(biāo)無人可以使用這個資源過載一些系統(tǒng)服務(wù)或者消耗一些資源，但這種拒絕服務(wù)有時是攻擊者攻擊造成的，有時是系統(tǒng)錯誤造成的這兩種情況大半是因用戶操作錯誤或程序錯誤造成的，并非針對性的攻擊針對網(wǎng)絡(luò)，拒絕服務(wù)攻擊的種類：信息數(shù)據(jù)包流量式、 SYN-Flooding攻擊、“Paste”式攻擊、服務(wù)過載式分布式拒絕服務(wù)（ DistributedDenialofService,DDoS）：原理：指借助于客戶 /服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺?，F(xiàn)象：1：大量等待的 TCP連接、2：網(wǎng)絡(luò)中大量無用的，假源地址的數(shù)據(jù)包、 3：造成網(wǎng)絡(luò)擁塞，主機(jī)無法正常和外界通信、4：利用主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求，無法及時處理所有正常請求、5：嚴(yán)重時甚至?xí)斐上到y(tǒng)死機(jī)防范：1：采用最新系統(tǒng)，打上安全補(bǔ)丁、 2：對所有主機(jī)進(jìn)行檢查、 3：刪除未使用的服務(wù)、 4：限制對主機(jī)的訪問權(quán)限等等。沒有哪個網(wǎng)絡(luò)可以免受 DDoS攻擊，但如果采取一定措施，則可起到一定的預(yù)防作用。5、 入侵檢測技術(shù)概述入侵檢測(IntrusionDetection)：對入侵行為的發(fā)覺，它在計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息，通過對這些信息的分析來發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)：進(jìn)行入侵檢測的軟件與硬件的組合，它幾乎適用于所有的系統(tǒng)入侵檢測系統(tǒng)主要有兩類：基于主機(jī)（保護(hù)主機(jī)的資源不被破壞）、基于網(wǎng)絡(luò)（保護(hù)整個網(wǎng)絡(luò)不被破壞）入侵檢測系統(tǒng)的組成：采集模塊、分析模塊、管理模塊、數(shù)據(jù)預(yù)處理模塊、通信模塊、響應(yīng)模塊、數(shù)據(jù)存儲模塊入侵檢測系統(tǒng)的存在的原因：要將已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)是不現(xiàn)實的，即使真正付諸于實踐，也需要相當(dāng)長的時間加密技術(shù)方法本身存在一定問題訪問控制和保護(hù)模型本身也存在一定的問題靜態(tài)安全控制措施不足以保護(hù)安全對象的屬性,因此動態(tài)的安全措施對檢測或盡可能地阻止入侵是必要的安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊在實踐中，建設(shè)完全安全系統(tǒng)根本是不可能的，現(xiàn)在的操作系統(tǒng)和應(yīng)用程序中不可能沒有缺陷僅僅使用防火墻保障網(wǎng)絡(luò)安全是遠(yuǎn)遠(yuǎn)不夠的入侵檢測的目的：識別入侵者、識別入侵行為、檢測和監(jiān)視已成功的安全突破、對于入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大歷史：1986年Discovery最早基于主機(jī)的 IDS雛形之一，1987年提出實時入侵檢測系統(tǒng)抽象模型— IDES(IntrusionDetectionExpertSystem,入侵檢測專家系統(tǒng)

)入侵檢測系統(tǒng)分類：1：依據(jù)原始數(shù)據(jù)的來源：1：基于主機(jī)的：能確定攻擊的目的所在、監(jiān)控粒度更細(xì)、配置靈活、可用于加密的和交換的環(huán)境、對網(wǎng)絡(luò)流量不敏感、不需要額外的硬件。缺點：占用主機(jī)資源、可移植性差2：基于網(wǎng)絡(luò)的：監(jiān)測速度快、隱蔽性好、視野更寬、較少的監(jiān)測器、攻擊者不易轉(zhuǎn)義證據(jù)、操作系統(tǒng)無關(guān)、可配置在專有機(jī)器上。缺點：精確度不高、交換環(huán)境下配置難、防入侵欺騙能力差、難以定位入侵者3：基于應(yīng)用的：基于主機(jī)的進(jìn)一步細(xì)化，與基于主機(jī)的基本相同。2：根據(jù)檢測原理（分析方式）分類：1：誤用檢測 —對不正常的行為建模，將符合特征庫中描述的行為視為攻擊， 能直接檢測不利的行為2：異常檢測 —對系統(tǒng)正常的行為建模，將特征庫中沒有描述的行為破壞疑為攻擊3：依據(jù)結(jié)構(gòu)體系： 集中式、等級式（部分分布式）、協(xié)作式（全部分布式）4：其他：系統(tǒng)設(shè)計目標(biāo)、事件生成 /收集的方式、檢測時間（同步技術(shù)） 、入侵檢測響應(yīng)方式、數(shù)據(jù)處理地點響應(yīng)方式分為：主動響應(yīng)（對被攻擊系統(tǒng)實施控制的系統(tǒng)— 主要控制、對攻擊系統(tǒng)實施控制的系統(tǒng)—控制比較困難）和被動響應(yīng)（只會發(fā)出告警通知，將情況報告給管理員）入侵檢測系統(tǒng)功能： 1：監(jiān)控、分析用戶和系統(tǒng)活動、 2：發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象、 3：記錄、報警和響應(yīng)入侵檢測系統(tǒng)的構(gòu)成：事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫、響應(yīng)單元。分工：硬件：主要完成數(shù)據(jù)的采集和響應(yīng)的實施、軟件：主要完成數(shù)據(jù)的處理、入侵的判斷和響應(yīng)的決策等功能入侵檢測系統(tǒng)的設(shè)計公共入侵檢測框架 (CommonIntrusionDetectionFramework,CIDF)模型：數(shù)據(jù)收集部分代替：事件產(chǎn)生器、事件分析器，控制臺部分代替：響應(yīng)單元事件產(chǎn)生器、事件分析器、響應(yīng)單元 通常是應(yīng)用程序的形式，而 事件數(shù)據(jù)庫往往是文件或數(shù)據(jù)流的形式上將入侵檢測系統(tǒng)劃分為四個基本部分：數(shù)據(jù)采集分析中心：數(shù)據(jù)采集子系統(tǒng)—探測器、數(shù)據(jù)分析子系統(tǒng)控制管理中心：控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)構(gòu)建一個基本的入侵檢測系統(tǒng)步驟：獲取 libpcap和tcpdump、構(gòu)建并配置探測器，實現(xiàn)數(shù)據(jù)采集功能、建立數(shù)據(jù)分析模塊、構(gòu)建控制臺子系統(tǒng)、構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)、 聯(lián)調(diào)（實現(xiàn)分析中心和控制中心的 雙向通信）入侵檢測系統(tǒng)的弱點與局限NIDS通過從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析，從而可檢測和識別出系統(tǒng)的未授權(quán)或異常現(xiàn)象網(wǎng)