1、第第3章章 入侵檢測技術(shù)的分類入侵檢測技術(shù)的分類3.1 入侵檢測的信息源入侵檢測的信息源3.2 分類方法分類方法3.3 具體的入侵檢測系統(tǒng)具體的入侵檢測系統(tǒng)3.1 入侵檢測的信息源入侵檢測的信息源 入侵檢測的基本問題 如何充分、可靠地提取描述行為特征的數(shù)據(jù)； 如何根據(jù)特征數(shù)據(jù)，高效、準(zhǔn)確地判斷行為的性質(zhì)； 數(shù)據(jù)源類型數(shù)據(jù)源類型 數(shù)據(jù)來源可分為四類：數(shù)據(jù)來源可分為四類： 來自主機(jī)的來自主機(jī)的 基于主機(jī)的監(jiān)測收集通常在操作系統(tǒng)層的來自計(jì)算機(jī)內(nèi)部的數(shù)基于主機(jī)的監(jiān)測收集通常在操作系統(tǒng)層的來自計(jì)算機(jī)內(nèi)部的數(shù)據(jù)，包括操作系統(tǒng)審計(jì)跟蹤信息和系統(tǒng)日志據(jù)，包括操作系統(tǒng)審計(jì)跟蹤信息和系統(tǒng)日志 來自網(wǎng)絡(luò)的來自網(wǎng)絡(luò)的

2、 檢測收集網(wǎng)絡(luò)的數(shù)據(jù)檢測收集網(wǎng)絡(luò)的數(shù)據(jù) 來自應(yīng)用程序的來自應(yīng)用程序的 監(jiān)測收集來自運(yùn)行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日監(jiān)測收集來自運(yùn)行著的應(yīng)用程序的數(shù)據(jù)，包括應(yīng)用程序事件日志和其它存儲在應(yīng)用程序內(nèi)部的數(shù)據(jù)志和其它存儲在應(yīng)用程序內(nèi)部的數(shù)據(jù) 來自目標(biāo)機(jī)的來自目標(biāo)機(jī)的 使用散列函數(shù)來檢測對系統(tǒng)對象的修改。使用散列函數(shù)來檢測對系統(tǒng)對象的修改。4審計(jì)記錄審計(jì)記錄 由審計(jì)子系統(tǒng)產(chǎn)生；由審計(jì)子系統(tǒng)產(chǎn)生； 用于反映系統(tǒng)活動的信息集合；用于反映系統(tǒng)活動的信息集合； 將這些信息按照時間順序組織成為一個或?qū)⑦@些信息按照時間順序組織成為一個或多個審計(jì)文件；多個審計(jì)文件； 遵循美國可信計(jì)算機(jī)安全評價標(biāo)準(zhǔn)遵循美國可

3、信計(jì)算機(jī)安全評價標(biāo)準(zhǔn)（TCSEC）；）；5審計(jì)記錄的優(yōu)點(diǎn)審計(jì)記錄的優(yōu)點(diǎn) 可信度高可信度高 得益于操作系統(tǒng)的保護(hù)得益于操作系統(tǒng)的保護(hù) 審計(jì)記錄沒有經(jīng)過高層的抽象審計(jì)記錄沒有經(jīng)過高層的抽象 最最“原始原始”的信息來源的信息來源 了解系統(tǒng)事件的細(xì)節(jié)了解系統(tǒng)事件的細(xì)節(jié) 不易被篡改和破壞不易被篡改和破壞審審計(jì)計(jì)記錄的缺點(diǎn)記錄的缺點(diǎn) 不同的系統(tǒng)在審計(jì)事件的選擇、審計(jì)記錄不同的系統(tǒng)在審計(jì)事件的選擇、審計(jì)記錄的選擇和內(nèi)容組織等諸多方面都存在著兼的選擇和內(nèi)容組織等諸多方面都存在著兼容性的問題。容性的問題。 另外一個存在的問題是，操作系統(tǒng)審計(jì)機(jī)另外一個存在的問題是，操作系統(tǒng)審計(jì)機(jī)制的設(shè)計(jì)和開發(fā)的初始目標(biāo)，并不是為

4、了制的設(shè)計(jì)和開發(fā)的初始目標(biāo)，并不是為了滿足后來才出現(xiàn)的入侵檢測技術(shù)的需求目滿足后來才出現(xiàn)的入侵檢測技術(shù)的需求目的。的。7審計(jì)記錄內(nèi)容審計(jì)記錄內(nèi)容 響應(yīng)事件的主體和涉及事件的目標(biāo)信息響應(yīng)事件的主體和涉及事件的目標(biāo)信息 主體主體 對象對象 進(jìn)程進(jìn)程 用戶用戶id 系統(tǒng)調(diào)用的參數(shù)系統(tǒng)調(diào)用的參數(shù) 返回值返回值 特定應(yīng)用事件的數(shù)據(jù)特定應(yīng)用事件的數(shù)據(jù) 1. Sun Solaris BSM Sun公司的公司的Solaris操作系統(tǒng)是目前流行的服務(wù)器操作系統(tǒng)是目前流行的服務(wù)器UNIX操作系統(tǒng)。操作系統(tǒng)。 BSM安全審計(jì)子系統(tǒng)的主要概念包括審計(jì)日志、安全審計(jì)子系統(tǒng)的主要概念包括審計(jì)日志、審計(jì)文件、審計(jì)記錄和審計(jì)

5、令牌等，其中審計(jì)日審計(jì)文件、審計(jì)記錄和審計(jì)令牌等，其中審計(jì)日志由一個或多個審計(jì)文件組成，每個審計(jì)文件包志由一個或多個審計(jì)文件組成，每個審計(jì)文件包含多個審計(jì)記錄，而每個審計(jì)記錄則由一組審計(jì)含多個審計(jì)記錄，而每個審計(jì)記錄則由一組審計(jì)令牌（令牌（audit token）構(gòu)成。）構(gòu)成。 圖圖3-1所示為所示為BSM審計(jì)記錄的格式。審計(jì)記錄的格式。 每個審計(jì)令牌包括若干字段，如圖每個審計(jì)令牌包括若干字段，如圖3-2所示。所示。圖圖3-1 BSM審計(jì)記錄格式審計(jì)記錄格式Header*Process*Argumnet*Attribute*DataIn_addrIpIpc_permIpcIportPath*T

6、extGroupsOpaqueReturn*Trailer首令牌字段首令牌字段審計(jì)進(jìn)程信息審計(jì)進(jìn)程信息系統(tǒng)調(diào)用參數(shù)信息系統(tǒng)調(diào)用參數(shù)信息屬性信息屬性信息當(dāng)前根目錄、工作目錄及其絕對路徑當(dāng)前根目錄、工作目錄及其絕對路徑請求（系統(tǒng)調(diào)用）返回值請求（系統(tǒng)調(diào)用）返回值圖圖3-2 BSM審計(jì)令牌格式審計(jì)令牌格式Header Tokentoken IDrecord sizeevent type *time of queue *Process Tokentoken IDaudit ID *user ID *feal user IDreal group ID*process ID*Argument Tokent

7、oken IDargument IDargument value *string lengthtextReturn Tokentoken IDuser errorreturn value *Trailer Tokentoken IDmagic numberrecord sizePath Tokentoken IDsize of rootcurrent rootsize of dircurrent dirsize of pathpath argument *Attribute Tokentoken IDvnode mode *vnode uid *vnode gid *vnode fsid *v

8、node nodeid *vnode rdev *Windows日志監(jiān)測 1Windows日志 Windows中也一樣使用中也一樣使用“事件查看器事件查看器”來管來管理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進(jìn)理日志系統(tǒng)，也同樣需要用系統(tǒng)管理員身份進(jìn)入系統(tǒng)后方可進(jìn)行操作，如圖所示。入系統(tǒng)后方可進(jìn)行操作，如圖所示。 圖3-5 事件屬性信息 通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、服務(wù)器日志、FTP日志、日志、WWW日志等等，日志等等，可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而略有變化。啟動化。啟動Windows

9、時，事件日志服務(wù)會自動時，事件日志服務(wù)會自動啟動，所有用戶都可以查看啟動，所有用戶都可以查看“應(yīng)用程序日志應(yīng)用程序日志”，但是只有系統(tǒng)管理員才能訪問但是只有系統(tǒng)管理員才能訪問“安全日志安全日志”和和“系統(tǒng)日志系統(tǒng)日志”。 應(yīng)用程序日志、安全日志、系統(tǒng)日志、應(yīng)用程序日志、安全日志、系統(tǒng)日志、DNS日日志 默 認(rèn) 位 置 ：志 默 認(rèn) 位 置 ： % s y s t e m r o o t % s y s tem32config，默認(rèn)文件大小默認(rèn)文件大小512KB，但有經(jīng)但有經(jīng)驗(yàn)的系統(tǒng)管理員往往都會改變這個默認(rèn)大小。驗(yàn)的系統(tǒng)管理員往往都會改變這個默認(rèn)大小。 安全日志文件：安全日志文件： c:sys

10、temrootsystem32configSecEvent.EVT 系統(tǒng)日志文件：系統(tǒng)日志文件： c:systemrootsys tem32configSysEvent.EVT 應(yīng)用程序日志文件：應(yīng)用程序日志文件： c:systemrootsys tem32configAppEvent.EVT I n t e r n e t 信 息 服 務(wù)信 息 服 務(wù) F T P 日 志 默 認(rèn) 位 置 ：日 志 默 認(rèn) 位 置 ：c:systemrootsys tem32logfilesmsftpsvc1。 I n t e r n e t 信 息 服 務(wù)信 息 服 務(wù) W W W 日 志 默 認(rèn) 位 置

11、：日 志 默 認(rèn) 位 置 ：c:systemrootsystem32logfilesw3svc1。17系統(tǒng)日志系統(tǒng)日志 系統(tǒng)日志是反映各種系統(tǒng)事件和設(shè)置的文件； Unix系統(tǒng)提供了分類齊全的系統(tǒng)日志，如登錄日志、進(jìn)程統(tǒng)計(jì)日志；18 系系統(tǒng)統(tǒng)日日志志 審審計(jì)計(jì)記記錄錄 運(yùn)運(yùn)行行方方式式 應(yīng)用程序 操作系統(tǒng)子系統(tǒng) 存存儲儲目目錄錄 未受保護(hù) 受系統(tǒng)保護(hù) 存存儲儲格格式式 文本 帶加密和校驗(yàn) 安全性對比安全性對比系統(tǒng)使用日志機(jī)制記錄下主機(jī)上發(fā)生的事情系統(tǒng)使用日志機(jī)制記錄下主機(jī)上發(fā)生的事情，系系統(tǒng)日志的安全性與操作系統(tǒng)的審計(jì)記錄比較統(tǒng)日志的安全性與操作系統(tǒng)的審計(jì)記錄比較而言，要差一些，其原因如下：而言

12、，要差一些，其原因如下： 產(chǎn)生系統(tǒng)日志的軟件通常是在內(nèi)核外運(yùn)行產(chǎn)生系統(tǒng)日志的軟件通常是在內(nèi)核外運(yùn)行的應(yīng)用程序，因而這些軟件容易受到惡意的修的應(yīng)用程序，因而這些軟件容易受到惡意的修改或攻擊。改或攻擊。 系統(tǒng)日志通常是存儲在普通的不受保護(hù)的系統(tǒng)日志通常是存儲在普通的不受保護(hù)的文件目錄里，容易受到惡意的篡改和刪除等操文件目錄里，容易受到惡意的篡改和刪除等操作。作。3.1.2 系統(tǒng)日志系統(tǒng)日志盡管如此，系統(tǒng)日志仍然以其簡單易讀、容易處理等優(yōu)盡管如此，系統(tǒng)日志仍然以其簡單易讀、容易處理等優(yōu)勢成為入侵檢測的一個重要輸入數(shù)據(jù)源。勢成為入侵檢測的一個重要輸入數(shù)據(jù)源。UNIX操作系統(tǒng)的主要日志文件可以分成操作系

13、統(tǒng)的主要日志文件可以分成3類：類： 登錄登錄日志日志文件，寫入到文件，寫入到/var/log/wtmp和和/var/run/utmp，系統(tǒng)程序負(fù)責(zé)更新系統(tǒng)程序負(fù)責(zé)更新wtmp和和utmp文件，文件，使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。進(jìn)程日志，由系統(tǒng)內(nèi)核生成。當(dāng)一個進(jìn)程終止時，系進(jìn)程日志，由系統(tǒng)內(nèi)核生成。當(dāng)一個進(jìn)程終止時，系統(tǒng)內(nèi)核為每個進(jìn)程在進(jìn)程日志文件（統(tǒng)內(nèi)核為每個進(jìn)程在進(jìn)程日志文件（pacct或或acct）中中寫入一條記錄。寫入一條記錄。syslogd日志，由日志，由syslogd生成并維護(hù)。各種系統(tǒng)守生成并維護(hù)。各種系統(tǒng)守護(hù)進(jìn)程、內(nèi)核、模塊使用

14、護(hù)進(jìn)程、內(nèi)核、模塊使用syslogd記錄下自己發(fā)出的消記錄下自己發(fā)出的消息。息。213.1.3 應(yīng)用程序日志應(yīng)用程序日志 應(yīng)用日志通常代表了系統(tǒng)活動的用戶級抽應(yīng)用日志通常代表了系統(tǒng)活動的用戶級抽象信息，相對于系統(tǒng)級的安全數(shù)據(jù)來說，象信息，相對于系統(tǒng)級的安全數(shù)據(jù)來說，去除了大量的冗余信息，更易于管理員瀏去除了大量的冗余信息，更易于管理員瀏覽和理解。覽和理解。 但是由于缺乏系統(tǒng)保護(hù)，因但是由于缺乏系統(tǒng)保護(hù)，因此也存在風(fēng)險，存在可信度的問題。此也存在風(fēng)險，存在可信度的問題。 典型的有：典型的有： WWW Server日志日志 數(shù)據(jù)庫系統(tǒng)日志數(shù)據(jù)庫系統(tǒng)日志22WWW Server日志日志 通用日志格式

15、（通用日志格式（CLF） -user1 27/Nov/2000:10:00:00 +0600 “GET /page1/HTTP 1.0” 200 1893字段字段格式格式訪問者主機(jī)名訪問者主機(jī)名“H”rfc931服務(wù)器返回給訪問用戶的信息；如果不存在，為服務(wù)器返回給訪問用戶的信息；如果不存在，為-用戶名（如果用戶提交了用于認(rèn)證的用戶名（如果用戶提交了用于認(rèn)證的ID）UserID請求日期及時間（包括時區(qū)信息）請求日期及時間（包括時區(qū)信息）DD/MMM/YYYY:HH:MM:SS+TimeZone請求的頁面及服務(wù)器使用的頁面通信協(xié)議請求的頁面及服務(wù)器使用的頁面通信協(xié)議“GET ”請求的返回碼（請求

16、的返回碼（200代表成功）代表成功）NNN，如果沒有則以，如果沒有則以“-”表示表示返回的字節(jié)數(shù)返回的字節(jié)數(shù)NNNNN，如果沒有則以，如果沒有則以“-”表示表示23WWW Server日志日志 擴(kuò)展日志文件格式擴(kuò)展日志文件格式字段字段格式格式訪問者主機(jī)名訪問者主機(jī)名“H”rfc931由由identd返回的該用戶信息返回的該用戶信息用戶名（如果用戶提交了用于認(rèn)證的用戶名（如果用戶提交了用于認(rèn)證的ID）UserID請求日期及時間（包括時區(qū)信息）請求日期及時間（包括時區(qū)信息）DD/MMM/YYYY:HH:MM:SS+TimeZone請求的頁面及服務(wù)器使用的頁面通信協(xié)議請求的頁面及服務(wù)器使用的頁面通信

17、協(xié)議“GET ”請求的返回碼（請求的返回碼（200代表成功）代表成功）NNN，如果沒有則以，如果沒有則以“-”表示表示返回的字節(jié)數(shù)返回的字節(jié)數(shù)NNNNN，如果沒有則以，如果沒有則以“-”表示表示請求的請求的URL的地址的地址http:/ #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(Use

18、rAgent) 20040419 03:091 6 7 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20040419 03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) FTP日志日志FTP日志每天生成一個日志文件，包含了該日的一切記錄，文件名通常為日志每天生成一個

19、日志文件，包含了該日的一切記錄，文件名通常為ex（年份）（年份）（月份）（日期）。例如（月份）（日期）。例如ex040419，就是，就是2004年年4月月19日產(chǎn)生的日志，用記事本可直接日產(chǎn)生的日志，用記事本可直接打開，普通的有入侵行為的日志一般是這樣的：打開，普通的有入侵行為的日志一般是這樣的： #Software: Microsoft Internet Information Services 5.0（微軟（微軟IIS5.0） #Version: 1.0 （版本（版本1.0） #Date: 20040419 0315 （服務(wù)啟動時間日期）（服務(wù)啟動時間日期） #Fields: time c

20、ip csmethod csuristem scstatus 0315 1USER administator 331（IP地址為地址為用戶名為用戶名為administator試圖登錄）試圖登錄） 0318 1PASS 530（登錄失敗）（登錄失?。?032:04 1USER nt 331（IP地址為地址為用戶名為用戶名為nt的用戶試圖登錄）的用戶試圖登錄） 032:06 1PASS 530（登錄失?。ǖ卿浭。?032:09 1USER cyz 331（IP

21、地址為地址為用戶名為用戶名為cyz的用戶試圖登錄）的用戶試圖登錄） 0322 1PASS 530（登錄失?。ǖ卿浭。?0322 1USER administrator 331（IP地址為地址為用戶名為用戶名為administrator試圖登錄）試圖登錄） 0324 1PASS 230（登錄成功）（登錄成功） 0321 1MKD nt 550（新建目錄失敗）（新建目錄失?。?0325 1QUIT 550（退出（退出FTP程序）程序） 從日志里就能看出從日志里

22、就能看出IP地址為地址為的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼的用戶一直試圖登錄系統(tǒng)，換了四次用戶名和密碼才成功，管理員立即就可以得知這個才成功，管理員立即就可以得知這個IP至少有入侵企圖！而他的入侵時間、至少有入侵企圖！而他的入侵時間、IP地址以及地址以及探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用探測的用戶名都很清楚的記錄在日志上。如上例入侵者最終是用 Administrator用戶名用戶名進(jìn)入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系進(jìn)入的，那么就要考慮此用戶名是不是密碼失竊？還是被別人利用？接下來就要想想系統(tǒng)出什么問題了

23、。統(tǒng)出什么問題了。 263.1.4 網(wǎng)絡(luò)信息源的優(yōu)勢網(wǎng)絡(luò)信息源的優(yōu)勢 可以對整個子網(wǎng)進(jìn)行檢測可以對整個子網(wǎng)進(jìn)行檢測 不影響現(xiàn)存的數(shù)據(jù)源，不影響現(xiàn)存的數(shù)據(jù)源，不改變系統(tǒng)和網(wǎng)絡(luò)不改變系統(tǒng)和網(wǎng)絡(luò)的工作模式的工作模式 不影響主機(jī)性能和網(wǎng)絡(luò)性能不影響主機(jī)性能和網(wǎng)絡(luò)性能 被動接收方式被動接收方式，隱蔽性好，隱蔽性好 對基于網(wǎng)絡(luò)協(xié)議的入侵手段有較強(qiáng)的分析對基于網(wǎng)絡(luò)協(xié)議的入侵手段有較強(qiáng)的分析能力能力27網(wǎng)絡(luò)信息源的缺陷網(wǎng)絡(luò)信息源的缺陷 檢測效率檢測效率 網(wǎng)絡(luò)流量日益增大的挑戰(zhàn)網(wǎng)絡(luò)流量日益增大的挑戰(zhàn) 虛警和漏警的平衡虛警和漏警的平衡 應(yīng)用于交換環(huán)境出現(xiàn)的問題應(yīng)用于交換環(huán)境出現(xiàn)的問題 在交換網(wǎng)絡(luò)環(huán)境中應(yīng)該考慮的問

24、題在交換網(wǎng)絡(luò)環(huán)境中應(yīng)該考慮的問題 每個端口的忙碌狀況每個端口的忙碌狀況 如何識別和跟蹤錯誤源？如何識別和跟蹤錯誤源？ 廣播風(fēng)暴的源頭是什么？廣播風(fēng)暴的源頭是什么？ 交換轉(zhuǎn)發(fā)表是否運(yùn)行正常交換轉(zhuǎn)發(fā)表是否運(yùn)行正常? 哪個站點(diǎn)連接在這個端口上？哪個站點(diǎn)連接在這個端口上？ 交換機(jī)對協(xié)議或端口是否有速率限制？交換機(jī)對協(xié)議或端口是否有速率限制？283.1.5 來自其它安全產(chǎn)品的信息來自其它安全產(chǎn)品的信息 防火墻防火墻 認(rèn)證系統(tǒng)認(rèn)證系統(tǒng) 訪問控制系統(tǒng)訪問控制系統(tǒng) 其它安全設(shè)備其它安全設(shè)備 提高分析的準(zhǔn)確性和全面性提高分析的準(zhǔn)確性和全面性3.1.6 信息源的選擇問題信息源的選擇問題 基本原則：基本原則： 根據(jù)

25、檢測目標(biāo)來選擇數(shù)據(jù)源；根據(jù)檢測目標(biāo)來選擇數(shù)據(jù)源； 最少數(shù)目的輸入數(shù)據(jù)源最少數(shù)目的輸入數(shù)據(jù)源3.2 入侵檢測的分類入侵檢測的分類 對入侵檢測系統(tǒng)可以根據(jù)所采用的審計(jì)數(shù)對入侵檢測系統(tǒng)可以根據(jù)所采用的審計(jì)數(shù)據(jù)源、檢測策略、檢測的實(shí)時性、對抗措據(jù)源、檢測策略、檢測的實(shí)時性、對抗措施、體系結(jié)構(gòu)等方面進(jìn)行劃分。施、體系結(jié)構(gòu)等方面進(jìn)行劃分。入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類1.基于網(wǎng)絡(luò)的系統(tǒng)基于網(wǎng)絡(luò)的系統(tǒng)VS基于主機(jī)的系統(tǒng)基于主機(jī)的系統(tǒng)根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源 ： 主機(jī)系統(tǒng)日志 原始的網(wǎng)絡(luò)數(shù)據(jù)包 應(yīng)用程序的日志 防火墻報警日志 其它入侵檢測系統(tǒng)的報警信息 入侵檢測實(shí)質(zhì)上可以歸結(jié)為對安全審計(jì)數(shù)據(jù)的處理

26、，這種處理可以針對網(wǎng)絡(luò)數(shù)據(jù)，也可以針對主機(jī)的審計(jì)記錄或應(yīng)用程序日志。依據(jù)審計(jì)數(shù)據(jù)源的不同可將IDS分為基于網(wǎng)絡(luò)的IDS、基于主機(jī)的IDS和基于主機(jī)/網(wǎng)絡(luò)混合型的IDS。 基于網(wǎng)絡(luò)的IDS利用網(wǎng)絡(luò)數(shù)據(jù)包作為審計(jì)數(shù)據(jù)源，其優(yōu)點(diǎn)是隱蔽性好，不容易遭受攻擊，對主機(jī)資源消耗少。并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，可以對網(wǎng)絡(luò)提供通用的保護(hù)而無需顧及異構(gòu)主機(jī)的不同架構(gòu)。 基于主機(jī)的IDS所分析的安全審計(jì)數(shù)據(jù)主要來自主機(jī)日志、應(yīng)用程序所產(chǎn)生的日志以及特權(quán)程序所產(chǎn)生的系統(tǒng)調(diào)用序列日志。其優(yōu)點(diǎn)是檢測精度高，但是只能檢測針對本機(jī)的攻擊，不適合檢測針對網(wǎng)絡(luò)協(xié)議漏洞的攻擊。 混合型IDS結(jié)合兩種數(shù)據(jù)源，最大限度提高對網(wǎng)絡(luò)及主機(jī)系

27、統(tǒng)的信息收集，實(shí)現(xiàn)準(zhǔn)確且高效的入侵檢測。2濫用檢測濫用檢測VS異常檢測異常檢測 濫用檢測又稱為基于知識的入侵檢測，是對利用已知的系統(tǒng)缺陷和已知的入侵方法進(jìn)行入侵活動的檢測。入侵者常常利用系統(tǒng)和應(yīng)用軟件的弱點(diǎn)來實(shí)施攻擊，將這些弱點(diǎn)編成某種模式，如果入侵者的攻擊方式正好與檢測系統(tǒng)的模式庫中某些模式匹配，則認(rèn)為有入侵行為發(fā)生。 濫用檢測的關(guān)鍵在于如何通過入侵模式準(zhǔn)確地描述入侵活動的特征、條件、排列和關(guān)系，從而有效地檢測入侵。系統(tǒng)需要對已知的入侵行為進(jìn)行分析，提取檢測特征，構(gòu)建攻擊模式。對觀察到的審計(jì)數(shù)據(jù)進(jìn)行分析檢測，通過系統(tǒng)當(dāng)前狀態(tài)與攻擊模式進(jìn)行匹配，判斷是否有入侵行為。 濫用檢測方法的優(yōu)點(diǎn)是可以針

28、對性地建立高效的入侵檢測系統(tǒng)，對已知攻擊檢測準(zhǔn)確率高。缺點(diǎn)是不能檢測未知攻擊或已知攻擊的變種，需要對入侵模式不斷進(jìn)行維護(hù)升級； 異常檢測前提是假定所有入侵行為都有區(qū)別于正常行為的異常特性。 異常檢測是根據(jù)系統(tǒng)或用戶的非正常行為和使用計(jì)算機(jī)資源的非正常情況來檢測入侵行為。 因此首先建立目標(biāo)系統(tǒng)及其用戶的活動模型，然后基于這個模型對系統(tǒng)和用戶的實(shí)際活動進(jìn)行審計(jì)，通過比較差異來判斷是否有入侵行為。 優(yōu)點(diǎn)是不受已知知識的限制，因而它可以檢測未知的攻擊行為。 關(guān)鍵問題在于正常使用模式的建立及如何利用該模式對當(dāng)前系統(tǒng)/用戶行為進(jìn)行比較（即系統(tǒng)特征量以及閾值的選取），從而判斷出與正常模式的偏離程度。 異常檢測方法存在的主要問題： 如何有效地表示用戶的正常行為模式？即選擇哪些數(shù)據(jù)才能有效的反映用戶的行為，而且正常模式具有時效性，需要不斷修正和更新。當(dāng)用戶行為突然改變時，容易引起