第5章-物聯(lián)網(wǎng)系統(tǒng)安全第3次課

5.3、入侵檢測本節(jié)課程目標1.了解入侵檢測概念2.熟悉蜜罐與蜜網(wǎng)3.熟悉惡意軟件監(jiān)測方法1.入侵檢測技術2.入侵檢測系統(tǒng)3.蜜罐與蜜網(wǎng)4.惡意軟件監(jiān)測

入侵檢測作為一種主動防御技術，彌補了傳統(tǒng)安全技術（防火墻）的不足。入侵檢測系統(tǒng)通過捕獲網(wǎng)絡上的數(shù)據(jù)包，經(jīng)過分析處理后，報告異?；蛑匾臄?shù)據(jù)模式和行為模式，使網(wǎng)絡管理員能夠清楚地了解網(wǎng)絡上發(fā)生的事件，并采取措施阻止可能的破壞行為。入侵檢測系統(tǒng)可以對主機系統(tǒng)和網(wǎng)絡進行實時監(jiān)控，阻止來自外部網(wǎng)絡黑客的入侵和來自內部網(wǎng)絡的攻擊。1985年，Denming等人提出了第一個實時入侵檢測專家系統(tǒng)模型和實時的基于統(tǒng)計量分析和用戶行為輪廓的入侵檢測技術，該模型成為入侵檢測技術研究領域的一個里程碑。入侵檢測包含兩層意思：一是對外部入侵（非授權使用）行為的檢測；二是對內部用戶（合法用戶）濫用自身權限的檢測。具體檢測內容包括：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。入侵檢測被認為是防火墻之后的第二道安全閘門，提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：（1）監(jiān)視、分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權操作；（2）系統(tǒng)構造和弱點的審計，并提示管理員修補漏洞；（3）識別反映已知進攻的活動模式并向相關人士報警，能夠實時對檢測到的入侵行為進行反應；（4）異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；（5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，如：計算和比較文件系統(tǒng)的校驗和；（6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。一、入侵檢測技術1、基本概念入侵檢測（IntrusionDetection），顧名思義，是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中得若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象?！叭肭帧?Intrusion)是個廣義的概念，不僅包括被發(fā)起攻擊的人(如惡意的黑客)取得超出合法范圍的系統(tǒng)控制權，也包括收集漏洞信息，造成拒絕訪問等對計算機系統(tǒng)造成危害的行為。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS)。2、誤用檢測技術

入侵檢測是網(wǎng)絡安全的重要組成部分，目前采用的入侵檢測技術主要有異常檢測和誤用檢測兩種。誤用檢測又稱為基于規(guī)則的入侵檢測。誤用檢測通過預先收集一些認為是異常的特征。建立匹配規(guī)則庫，然后根據(jù)檢測到的事件或者網(wǎng)絡行為的特征，與匹配規(guī)則庫中預先設定的規(guī)則進行匹配，如果匹配成功，則認為該網(wǎng)絡行為異常，產(chǎn)生報警。這種檢測方法建立在對過去的知識積累基礎上，只有當匹配規(guī)則庫中已經(jīng)存在的特征，入侵檢測系統(tǒng)才能進行檢測。如果發(fā)現(xiàn)了一種新的網(wǎng)絡入侵行為，則需要根據(jù)新的網(wǎng)絡入侵行為特征，往匹配規(guī)則庫添加相應的匹配規(guī)則，這樣入侵檢測系統(tǒng)才能夠及時檢測到新的網(wǎng)絡入侵。誤用檢測技術具有很高的準確性，但是這種檢測技術只能根據(jù)已經(jīng)出現(xiàn)過的異常行為特征模式進行匹配檢測，對于未出現(xiàn)過的異常行為或者是已經(jīng)出現(xiàn)過的網(wǎng)絡蠕蟲的變種卻無能為力。而且，它必須時刻根據(jù)出現(xiàn)的新情況更新規(guī)則庫，匹配規(guī)則庫更新的頻率會大大影響整個系統(tǒng)的檢測能力。優(yōu)點：缺點：誤用檢測則是標識一些已知的入侵行為，通過對一些具體行為進行判斷和推理，從而檢測出異常行為。相對正常而言，異常檢測技術是記錄正常的網(wǎng)絡特征或行為。異常檢測的主要缺陷在于誤報率比較高，優(yōu)點：可檢測出最新的入侵異常檢測技術又可以分為四種：（1）基于統(tǒng)計的異常檢測（2）基于數(shù)據(jù)挖掘的異常檢測（3）基于神經(jīng)網(wǎng)絡的異常檢測（4）基于免疫系統(tǒng)的異常檢測2、異常檢測技術4、異常檢測與誤用檢測的比較異常檢測是通過對正常網(wǎng)絡行為的描述來分析和發(fā)現(xiàn)可能出現(xiàn)的異常情況，任何偏離了正常范圍的網(wǎng)絡行為都被認為異常行為。異常檢測技術中對正常網(wǎng)絡行為的描述是通過對過去大量歷史數(shù)據(jù)的分析得到的。

無論誤用檢測還是異常檢測都是入侵檢測技術的具體實施，其各自的特點決定了它們具有相當?shù)幕パa性。為了符合用戶越來越高的安全要求，可以將兩種方式結合起來，使得入侵檢測系統(tǒng)的檢測手法具有多樣性的特點。在不同的條件下采用不同的檢測方法，提高系統(tǒng)的檢測效率。二、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是指通過收集網(wǎng)絡流量數(shù)據(jù)、系統(tǒng)日志、用戶行為信息以及主機所能提供的若干信息進行相應的分析，檢測網(wǎng)絡是否存在異常行為或者被攻擊的跡象，從而產(chǎn)生警告的過程。

一個IDS通常包括入侵檢測軟件與硬件兩部分，它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象并且對其做出反應。有些反應是自動的，它包括通知網(wǎng)絡安全管理員（通過控制臺、電子郵件），中止入侵進程、關閉系統(tǒng)、斷開與互聯(lián)網(wǎng)的連接，使該用戶無效，或者執(zhí)行一個準備好的命令等。如右圖所示是入侵檢測系統(tǒng)的整體框架示意圖，主要包括知識庫、數(shù)據(jù)收集、數(shù)據(jù)預處理、入侵檢測分析以及響應處理等。1.入侵檢測系統(tǒng)的結構

(1)數(shù)據(jù)收集入侵檢測系統(tǒng)的數(shù)據(jù)主要來自不同網(wǎng)段和主機，有關網(wǎng)絡流量以及用戶活動狀態(tài)信息都是主要的數(shù)據(jù)來源。通常情況下，數(shù)據(jù)的內容主要包括系統(tǒng)日志、網(wǎng)絡數(shù)據(jù)包等。尋找可用、有價值的信息是實現(xiàn)入侵檢測系統(tǒng)的關鍵，數(shù)據(jù)的可靠性可以保證入侵檢測系統(tǒng)產(chǎn)生最大效果，并對攻擊行為做出迅速且有效的反應。(2)數(shù)據(jù)預處理通常情況下，主機系統(tǒng)的系統(tǒng)日志和網(wǎng)絡數(shù)據(jù)包中的數(shù)據(jù)信息類型多樣的且雜亂無章，很難進行分析。因此，為了保證數(shù)據(jù)能夠被檢測算法所識別，必須進行預處理。在預處理過程中，需要將數(shù)據(jù)通過加工轉換成統(tǒng)一的數(shù)據(jù)格式，從而獲取有價值的信息。(3)入侵檢測分析入侵檢測分析是入侵檢測系統(tǒng)的核心部分，通過識別和統(tǒng)計特征并進行合理的分析，從而對數(shù)據(jù)的行為進行識別，檢測是否存在異常。(4)響應處理在系統(tǒng)受到攻擊并且被入侵檢測分析算法識別后，針對攻擊的行為與類型應采取相應的抵御措施，確保網(wǎng)絡系統(tǒng)的安全。通常采用的網(wǎng)絡安全防御方法有防火墻、安全事件記錄以及對攻擊主機進行識別與限制等。(5)知識庫知識庫主要用于收集系統(tǒng)的歷史行為、日志信息以及記錄相應的入侵數(shù)據(jù)，可以為入侵檢測系統(tǒng)提供相應的數(shù)據(jù)支持與判別依據(jù)。

根據(jù)的來源可將入侵檢測分為：基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）、基于主機的入侵檢測系統(tǒng)（HIDS）和混合型入侵檢測系統(tǒng)三種類型。（1）基于網(wǎng)絡的入侵檢測系統(tǒng)網(wǎng)絡型入侵檢測系統(tǒng)是通過網(wǎng)絡連接檢測網(wǎng)絡數(shù)據(jù)中存在的入侵行為，并保護所有網(wǎng)絡節(jié)點。

基于網(wǎng)絡的入侵檢測系統(tǒng)NIDS的信息來源為網(wǎng)絡中的數(shù)據(jù)包。NIDS通常是在網(wǎng)絡層監(jiān)聽并分析網(wǎng)絡包來檢測入侵，可以檢測到非授權訪問、盜用數(shù)據(jù)資源、盜取口令文件等入侵行為。2、入侵檢測系統(tǒng)的分類基于網(wǎng)絡的入侵檢測系統(tǒng)不需要改變服務器等主機的配置,不會在業(yè)務系統(tǒng)的主機中安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用。

隨著VPN,SSH和SSL的應用，數(shù)據(jù)加密越來越普遍，傳統(tǒng)的NIDS工作在網(wǎng)絡層，無法分析上層的加密數(shù)據(jù)，從而也無法檢測到加密后入侵網(wǎng)絡包。缺點不能檢測不同網(wǎng)段的網(wǎng)絡包很難檢測復雜的需要大量計算的攻擊協(xié)同工作能力弱難以處理加密的會話優(yōu)點檢測范圍廣無需改變主機配置和性能獨立性和操作系統(tǒng)無關性安裝方便（2）基于主機的入侵檢測系統(tǒng)主機型入侵檢測系統(tǒng)是設置在特定主機上運行，主要是監(jiān)視主機上的事件并檢測本地可疑活動，即受監(jiān)控機器的用戶執(zhí)行的攻擊或針對其運行的主機發(fā)生的攻擊。由于主機型的IDS僅設計為與主機一起運行，因此能夠執(zhí)行特定任務，是NIDS無法實現(xiàn)的，例如檢測緩沖區(qū)溢出、監(jiān)視系統(tǒng)調用、特權濫用以及系統(tǒng)日志分析等.

基于主機的入侵檢測系統(tǒng)的信息來源為操作系統(tǒng)事件日志、管理工具審計記錄和應用程序審計記錄。

它通過監(jiān)視系統(tǒng)運行情況（文件的打開和訪問、文件權限的改變、用戶的登錄和特權服務的訪問等）、審計系統(tǒng)日志文件和應用程序日志來檢測入侵來檢測入侵。優(yōu)點性能價格比高細膩性，審計內容全面視野集中適用于加密及交換環(huán)境缺點額外產(chǎn)生的安全問題依賴性強如果主機數(shù)目多，代價過大不能監(jiān)控網(wǎng)絡上的情況（3）混合型入侵檢測系統(tǒng)混合型入侵檢測系統(tǒng)的開發(fā)考慮了主機事件和網(wǎng)絡提供的數(shù)據(jù)，并結合了網(wǎng)絡型和主機型的人侵檢測系統(tǒng)的功能。該系統(tǒng)結合了其他兩種方法的優(yōu)點，也克服了許多缺點。但混合系統(tǒng)并不意味著是更好的系統(tǒng)。由于不同的IDS技術以各種不同的方式分析流量并尋找入侵活動，讓這些不同的技術成功且高效地在單個系統(tǒng)中進行互操作和共存是一項具有挑戰(zhàn)性的任務。目前越來越多的入侵行為都集中到主機提供的網(wǎng)絡服務上，入侵者紛紛利用應用服務的漏洞展開對系統(tǒng)的攻擊，因此，應用層協(xié)議分析技術成為了入侵檢測技術研究的重點。3.IDS典型應用---小規(guī)模網(wǎng)絡環(huán)境應用3.IDS典型應用---多子網(wǎng)分布式環(huán)境應用3.IDS典型應用---分級管理三、蜜罐與蜜網(wǎng)1.蜜罐HoneyPot定義：honeypot:“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”——LanceSpitzner（HoneynetProject的創(chuàng)始人）蜜罐是一類安全資源，其價值就在于被探測、被攻擊及被攻陷。蜜罐技術的提出和發(fā)展Honeypot:首次出現(xiàn)在CliffStoll的小說“TheCuckoo’sEgg”(1990)著名計算機安全專家FredCohen1998年后，出現(xiàn)DTK、Honeyd等大量開源蜜罐工具同期出現(xiàn)一些商業(yè)產(chǎn)品，但并未得到市場普及1999年由蜜網(wǎng)項目組(TheHoneynetProject)提出并實現(xiàn)目前已發(fā)展到第三代蜜網(wǎng)技術2003年由LanceSpitzner首次提出Honeypotfarms思想目前仍未有實際的工具、產(chǎn)品和應用

現(xiàn)行入侵檢測系統(tǒng)（HIDS和NIDS）及其入侵檢測技術，都存在一些缺陷。為了避免這一問題，科技人員引入了網(wǎng)絡誘騙技術，即蜜罐（Honeypot）和蜜網(wǎng)（Honeynet）技術。Honeypot是一種全新的網(wǎng)絡入侵檢測系統(tǒng)（NIDS），它誘導攻擊者訪問預先設置的蜜罐而不是工作中網(wǎng)絡，可以提高檢測攻擊和攻擊者行為的能力，降低攻擊帶來的破壞。Honeypot的目的有兩個：一是在不被攻擊者察覺的情況下監(jiān)視他們的活動、收集與攻擊者有關的所有信息二是牽制他們，讓他們將時間和資源都耗費在攻擊Honeypot上，使他們遠離實際的工作網(wǎng)絡。

為了達到上述兩個目的，Honeypot的設計方式必須與實際的系統(tǒng)一樣，還應包括一系列能夠以假亂真的文件、目錄及其它信息。

這樣一旦攻擊者入侵Honeypot會以為自己控制了一個很重要的系統(tǒng)，刺激他充分施展他的“才能”。

而Honeypot就象監(jiān)視器一樣監(jiān)視攻擊者的所有行動：記錄攻擊者的訪問企圖，捕獲擊鍵，確定被訪問、修改或刪除的文件，指出被攻擊者運行的程序等。Honeypot可以是這樣的一個系統(tǒng)：模擬某些已知的漏洞或服務、模擬各種操作系統(tǒng)、在某個系統(tǒng)上做了設置使它變成“牢籠”環(huán)境.、或者是一個標準的操作系統(tǒng)，在這上面可以打開各種服務。蜜罐與NIDS相比，具有如下特點:數(shù)據(jù)量較小。蜜罐只收集那些對它進行訪問的數(shù)據(jù)。在同樣的條件下，NIDS可能會記錄成千上萬條報警信息，而蜜罐卻只有幾百條信息。這就使得蜜罐收集信息更容易，分析起來也更為方便。減少誤報率。蜜罐能顯著減少誤報率。任何對蜜罐的訪問都是未授權、非法的，因此蜜罐檢測攻擊非常有效，能夠大大減少甚至避免錯誤的報警信息。捕獲漏報。蜜罐可以很容易地鑒別、捕獲針對它的攻擊行為。由于針對蜜罐的任何操作都不是正常的，這樣就使得任何以前沒有出現(xiàn)過的攻擊行為很容易暴露。資源最小化。蜜罐需要的資源很少，即使工作在一個大型網(wǎng)絡環(huán)境中也是如此。Honeynet的概念是由Honeypot發(fā)展起來的。起初人們?yōu)榱搜芯亢诳偷娜肭中袨?，在網(wǎng)絡上放置了一些專門的計算機，并在上面運行專用的模擬軟件，使得在外界看來這些計算機就是網(wǎng)絡上運行某些操作系統(tǒng)的主機。把這些計算機放在網(wǎng)絡上，并為之設置較低的安全防護等級，使入侵者可以比較容易地進入系統(tǒng)。入侵者進入系統(tǒng)后一切行為都在系統(tǒng)軟件的監(jiān)控和記錄之下，通過系統(tǒng)軟件收集描述入侵者行為的數(shù)據(jù)，對入侵者的行為進行分析。2.蜜網(wǎng)HoneyNet

(1)蜜網(wǎng)與蜜罐的異同一個蜜網(wǎng)是一個網(wǎng)絡系統(tǒng)，而并非某臺主機。這一網(wǎng)絡系統(tǒng)是隱藏在防火墻后的，所有進出的數(shù)據(jù)都受到關注、捕獲及控制。這些被捕獲的數(shù)據(jù)可以幫助我們分析入侵者所使用的工具、方法及動機。蜜網(wǎng)中的所有系統(tǒng)都是標準的機器，上面運行的都是真實完整的操作系統(tǒng)及應程序，不需要刻意地模擬某種環(huán)境或者故意使系統(tǒng)不安全。蜜罐是通過把系統(tǒng)的脆弱性暴露給入侵者或故意使用一些具有誘惑性的假信息來誘騙人侵者，這樣雖然可以對入侵者進行跟蹤，但也引來了更多的潛在入侵者。更進一步，可以在實際的系統(tǒng)中運行入侵檢測系統(tǒng)，當檢測到入侵行為時，才能更有針對性地進行誘騙，從而更好地保護自己。(2)蜜網(wǎng)的原型系統(tǒng)將防火墻、IDS、二層網(wǎng)關和Honeynet網(wǎng)有機地結合起來，設計了一個Honeynet網(wǎng)的原型系統(tǒng)。網(wǎng)關有A、B、C三個網(wǎng)絡接口。A接口用于和外部防火墻相連，接收重定向進來的屬于可疑或真正入侵的網(wǎng)絡連接；B接口用于Honeynet內部管理以及遠程日志等功能；C接口用于和Honeypot主機相連，進行基于網(wǎng)絡的入侵檢測，實時記錄Honeynet系統(tǒng)中的入侵行為。網(wǎng)橋上可以根據(jù)需要運行網(wǎng)絡流量仿真軟件，通過仿真流量來麻痹入侵者。路由器、外部防火墻和二層網(wǎng)關為Honeynet

提供了較高的安全保障。四、惡意軟件檢測1.計算機病毒檢測計算機病毒是一種人為制造的、能夠進行自我復制的、具有對計算機資源的破壞作用的一組程序或指令的集合。計算機病毒把自身附著在各種類型的文件上或寄生在存儲媒介中，能對計算機系統(tǒng)和網(wǎng)絡進行各種破壞，同時有獨特的復制能力和傳染性，能夠自我復制和傳染。計算機病毒種類繁多、特征各異。目前典型的病毒檢測方法包括：(1)直接檢查法感染病毒的計算機系統(tǒng)內部會發(fā)生某些變化，并在一定的條件下表現(xiàn)出來，因而可以通過直接觀察法來判斷系統(tǒng)是否感染病毒。(2)特征代碼法特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實現(xiàn)步驟如下：采集已知病毒樣本，依據(jù)如下原則抽取特征代碼：抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度，一方面維持特征代碼的唯一性，另一方面盡量使特征代碼長度短些，以減少空間與時間開銷。特征代碼法的優(yōu)點是：檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結果，可做解毒處理；特征代碼法的缺點是：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網(wǎng)絡上效率低（在網(wǎng)絡服務器上，因長時間檢索會使整個網(wǎng)絡性能變壞）。(3)校驗和法將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染。病毒感染的確會引起文件內容變化，但是校驗和法對文件內容的變化太敏感，又不能區(qū)分正常程序引起的變動，而頻繁報警。這種方法遇到軟件版本更新、口令變更、運行參數(shù)修改時，校驗和法都會誤報警；校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內存后，會自動剝去染毒程序中的病毒代碼，使校驗和法受騙，對一個有毒文件算出正常校驗和。運用校驗和法查病毒采用三種方式：在檢測病毒工具中納入校驗和法、在應用程序中放入校驗和法自我檢查功能、將校驗和檢查程序常駐內存實時檢查待運行的應用程序。校驗和法的優(yōu)點：方法簡單且能發(fā)現(xiàn)未知病毒，即使被查文件有細微變化，也能被發(fā)現(xiàn)。校驗和法的缺點：需發(fā)布通行記錄正常態(tài)的校驗和、會誤報警、不能識別病毒名稱、不能處理隱蔽型病毒等。(4) 行為監(jiān)測法利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。行為監(jiān)測法的優(yōu)點：可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。行為監(jiān)測法的缺點：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。(5) 軟件模擬法多態(tài)性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因為不知病毒的種類，難于做消毒處理。為了檢測多態(tài)性病毒，可應用新的檢測方法――軟件模擬法，即用軟件方法來模擬和分析程序的運行。2.網(wǎng)絡蠕蟲檢測目前，網(wǎng)絡蠕蟲已經(jīng)成為計算機網(wǎng)絡的最大威脅。網(wǎng)絡蠕蟲在傳播過程中具有與黑客攻擊相似的網(wǎng)絡行為，網(wǎng)絡蠕蟲檢測技術在采用入侵檢測技術的同時，還需要結合網(wǎng)絡蠕蟲自身及其傳播具有的特點，綜合應用多種技術，包括網(wǎng)絡蠕蟲檢測與預警、網(wǎng)絡蠕蟲傳播抑制、網(wǎng)絡蠕蟲應對等。網(wǎng)絡蠕蟲檢測系統(tǒng)(NWDS)通常部署在一個網(wǎng)絡的出口處(如圖所示)，可以實時捕獲網(wǎng)絡中的所有流經(jīng)的網(wǎng)絡數(shù)據(jù)包，并對這些數(shù)據(jù)進行檢測。檢測機上主要運行檢測端程序，包括了網(wǎng)絡數(shù)據(jù)捕獲模塊、網(wǎng)絡蠕蟲檢測模塊、通訊模塊等;管理機運行監(jiān)控管理終端程序，提供友好的用戶界面:數(shù)據(jù)庫系統(tǒng)主要用于保存各種信息，包括系統(tǒng)參數(shù)、檢測策略、報警記錄等。（1）檢測機檢測機上主要涉及網(wǎng)絡數(shù)據(jù)捕獲模塊、網(wǎng)絡蠕蟲檢測模塊、通信模塊。網(wǎng)絡數(shù)據(jù)捕捉模塊：用于從網(wǎng)絡中實時捕獲網(wǎng)絡數(shù)據(jù)包，并對這些數(shù)據(jù)進行預處理，形成能夠提交給網(wǎng)絡數(shù)據(jù)檢測模塊的統(tǒng)計信息。通信模塊:用于實現(xiàn)網(wǎng)絡蠕蟲檢測模塊與監(jiān)控管理模塊、數(shù)據(jù)庫系統(tǒng)之間的通信，包括監(jiān)控管理程序發(fā)送各種控制信息到檢測機、網(wǎng)絡蠕蟲檢測模塊產(chǎn)生的報警信息傳遞給數(shù)據(jù)庫系統(tǒng)等。網(wǎng)絡蠕蟲檢測模塊：實現(xiàn)對網(wǎng)絡數(shù)據(jù)捕獲模塊提交的網(wǎng)絡數(shù)據(jù)信息進行檢測，并生成報警信息。(2)監(jiān)控管理機監(jiān)控管理機主要運行監(jiān)控管理終端程序，提供一個友好的人機交互界面。網(wǎng)絡管理員可以通過監(jiān)控管理終端管理檢測機和數(shù)據(jù)庫，并根據(jù)實際網(wǎng)絡使用情況實時調整網(wǎng)絡蠕蟲檢測策略。其他終端用戶可以根據(jù)各自的權限查看網(wǎng)絡蠕蟲報警情況，并生成相應的報告。監(jiān)控管理機由5個功能模塊組成:①連接檢測端模塊。通過套接字與檢測端程序建立連接，與指定檢測機建立通信;②策略配置模塊?？梢宰層脩舾鶕?jù)實際網(wǎng)絡環(huán)境和檢測情況對檢測策略進行修改，更新數(shù)據(jù)庫中的策略配置表數(shù)據(jù)并通知檢測端;③系統(tǒng)參數(shù)配置模塊?？梢宰層脩舾鶕?jù)實際網(wǎng)絡情況對檢測機的系統(tǒng)參數(shù)進行修改;④實時報警模塊。通過數(shù)據(jù)庫連接模塊定時從數(shù)據(jù)庫中提取最新的報警記錄信息，并通過用戶界面進行顯示;⑤報警查詢模塊。允許用戶輸入查詢條件，從數(shù)據(jù)庫中檢索符合條件的報警記錄，并以列表形式顯示。網(wǎng)絡管理員和其他用戶通過監(jiān)控管理機進行系統(tǒng)應用和維護。(3)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)主要用于存儲各種信息，包括系統(tǒng)參數(shù)信息、檢測策略、報警記錄統(tǒng)性能情況等。關于入侵檢測的說法正確的是（）不僅對外部入侵進行檢測還可以檢測內部權限濫用常用的有異常檢測技術和誤用檢測技術是一種主動防御技術可以對網(wǎng)絡和主機實時監(jiān)測ABCD提交多選題10分屬于異常檢測的是（）基于統(tǒng)計的異常檢測基于數(shù)據(jù)挖掘的異常檢測基于神經(jīng)網(wǎng)絡的異常檢測基于免疫系統(tǒng)的異常檢測ABCD提交多選題10分目的在于建立正常使用模式以及利用這些模式對當前的系統(tǒng)或用戶行為進行比較，從而判斷出與異常模式的偏離程度的異常檢測技術是（）基于統(tǒng)計的異常檢測基于數(shù)據(jù)挖掘的異常檢測基于神經(jīng)網(wǎng)絡的異常檢測基于免疫系統(tǒng)的異常檢測ABCD提交單選題10分入侵檢測系統(tǒng)的核心是（）數(shù)據(jù)收集數(shù)據(jù)預處理入侵檢測分析響應處理ABCD提交單選題10分關于蜜罐和蜜網(wǎng)說法正確的是()蜜罐是一種誘騙技術蜜罐的設計需要高度的偽裝蜜網(wǎng)系統(tǒng)中都是標準的機器，