防火墻入侵檢測(cè)技術(shù)的概念防火墻入侵檢測(cè)技術(shù)的概念保密性（Confidentiality）；完整性（Integrity）；認(rèn)證（Authenticity）：實(shí)體身份的認(rèn)證，適用于用戶、進(jìn)程、系統(tǒng)、信息等；不可否認(rèn)性（Non-repudiation）：防止發(fā)送方或接收方的抵賴；可用性（Availability）。回顧：安全相關(guān)概念保密性（Confidentiality）；回顧：安全相關(guān)概念加密：常規(guī)加密、公開密鑰加密；數(shù)據(jù)鑒別：消息摘要；數(shù)字簽名；身份認(rèn)證：口令、身份認(rèn)證協(xié)議、生物特征；網(wǎng)絡(luò)安全協(xié)議：IPSec、SSL、PGP、S/MIME；網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN；應(yīng)用程序防護(hù):防病毒、防止緩沖區(qū)溢出等。安全措施和技術(shù)加密：常規(guī)加密、公開密鑰加密；安全措施和技術(shù)人因攻擊：社會(huì)工程、盜竊行為；物理攻擊：電磁脈沖炸彈等；數(shù)據(jù)攻擊：非法獲取數(shù)據(jù)、篡改數(shù)據(jù)；身份冒充：IP欺騙、會(huì)話重放、會(huì)話劫持；非法使用：利用系統(tǒng)的漏洞（緩沖區(qū)溢出）；拒絕服務(wù)：EMAIL轟炸等。面對(duì)的入侵威脅人因攻擊：社會(huì)工程、盜竊行為；面對(duì)的入侵威脅偽裝者：未被授權(quán)的使用計(jì)算機(jī)的人（Outside）；違法者：訪問沒有經(jīng)過授權(quán)的數(shù)據(jù)、程序和資源的合法用戶（Inside）；秘密用戶：奪取系統(tǒng)超級(jí)控制并使用這種控制權(quán)逃避審計(jì)和訪問控制，或者抑制審計(jì)記錄的人（Outside&Inside）。入侵者偽裝者：未被授權(quán)的使用計(jì)算機(jī)的人（Outside）；入侵者身份認(rèn)證安全訪問控制入侵檢測(cè)系統(tǒng)防止入侵的手段身份認(rèn)證防止入侵的手段入侵檢測(cè)系統(tǒng)存在與發(fā)展的必然性網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅單純的防火墻無法防范復(fù)雜多變的攻擊關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得入侵檢測(cè)系統(tǒng)存在與發(fā)展的必然性網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性入侵檢測(cè)技術(shù)——概念入侵檢測(cè)的起點(diǎn)——主機(jī)審計(jì)入侵檢測(cè)的定義入侵檢測(cè)發(fā)展的歷程IDS分類入侵檢測(cè)技術(shù)——概念入侵檢測(cè)的起點(diǎn)——主機(jī)審計(jì)主機(jī)審計(jì)審計(jì)技術(shù)：產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過程。審計(jì)的目標(biāo)：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；重建事件；評(píng)估損失；監(jiān)測(cè)系統(tǒng)的問題區(qū)；提供有效的災(zāi)難恢復(fù)；阻止系統(tǒng)的不正當(dāng)使用。主機(jī)審計(jì)審計(jì)技術(shù)：產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記入侵檢測(cè)的定義對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性；進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)；IDS:IntrusionDetectionSystem。入侵檢測(cè)的定義對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻入侵檢測(cè)發(fā)展的歷程1

1980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）第一次詳細(xì)闡述了入侵檢測(cè)的概念；計(jì)算機(jī)系統(tǒng)威脅分類:外部滲透、內(nèi)部滲透和不法行為；提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想；這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。入侵檢測(cè)發(fā)展的歷程11980年4月，JamesP.入侵檢測(cè)發(fā)展的歷程21987年：Dorthy

Denning提出了一種通用的入侵檢測(cè)模型；Denning提出的模型是一個(gè)基于主機(jī)的入侵檢測(cè)模型。首先對(duì)主機(jī)事件按照一定的規(guī)則學(xué)習(xí)產(chǎn)生用戶行為模型（ActivityProfile),然后將當(dāng)前的事件和模型進(jìn)行比較，如果不匹配則認(rèn)為異常。現(xiàn)在的各種入侵檢測(cè)技術(shù)和體系都是在此基礎(chǔ)上的擴(kuò)展和細(xì)化。

入侵檢測(cè)發(fā)展的歷程21987年：DorthyDennin入侵檢測(cè)的基礎(chǔ)入侵檢測(cè)的核心Denning的通用入侵檢測(cè)模型入侵檢測(cè)的基礎(chǔ)入侵檢測(cè)的核心Denning的通用入侵檢測(cè)模型事件產(chǎn)生器：根據(jù)具體應(yīng)用環(huán)境而有所不同，事件來自審計(jì)記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其它可視行為，這些事件構(gòu)成了入侵檢測(cè)的基礎(chǔ)。行為特征表：整個(gè)檢測(cè)系統(tǒng)的核心，包含用于計(jì)算用戶行為特征的所有變量，這些變量可根據(jù)具體采用的統(tǒng)計(jì)方法以及事件記錄中的具體動(dòng)作模式而定義，并根據(jù)匹配上的記錄數(shù)據(jù)更新變量值。規(guī)則模塊：由系統(tǒng)安全策略、入侵模式等組成，一方面為判斷是否入侵提供參考機(jī)制，另一方面可根據(jù)事件記錄、異常記錄以及有效日期等控制并更新其它模塊的狀態(tài)。行為特征模塊執(zhí)行基于行為的檢測(cè)，而規(guī)則模塊執(zhí)行基于知識(shí)的檢測(cè)。

Denning的通用入侵檢測(cè)模型事件產(chǎn)生器：根據(jù)具體應(yīng)用環(huán)境而有所不同，事件來自審計(jì)記錄、網(wǎng)入侵檢測(cè)發(fā)展的歷程31988年，SRI公司CSL實(shí)驗(yàn)室的TeresaLunt等人改進(jìn)了Denning的入侵檢測(cè)模型，研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型IDES（IntrusionDetectionExpertSystem。IDES是一個(gè)綜合入侵檢測(cè)系統(tǒng)，同時(shí)采用專家系統(tǒng)（誤用檢測(cè)）和統(tǒng)計(jì)分析（異常檢測(cè)）兩種檢測(cè)技術(shù)。入侵檢測(cè)發(fā)展的歷程31988年，SRI公司CSL入侵檢測(cè)發(fā)展的歷程41990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM（NetworkSecurityMonitor）；該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)；入侵檢測(cè)系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。入侵檢測(cè)發(fā)展的歷程41990，加州大學(xué)戴維斯分校的L.T.入侵檢測(cè)發(fā)展的歷程5商業(yè)化IDS產(chǎn)品：CyberCopMonitor,NAINetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISS開源IDS項(xiàng)目：Snort：SHADOW：/ISSEC/CID/入侵檢測(cè)發(fā)展的歷程5商業(yè)化IDS產(chǎn)品：入侵檢測(cè)的分類（1）按照數(shù)據(jù)來源：基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)；基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行；混合型。入侵檢測(cè)的分類（1）按照數(shù)據(jù)來源：入侵檢測(cè)的分類（2）按照分析方法（檢測(cè)方法）

異常檢測(cè)（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。誤用檢測(cè)（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。入侵檢測(cè)的分類（2）按照分析方法（檢測(cè)方法）

異常檢測(cè)也稱為基于行為的檢測(cè)建立用戶的正常使用模式的知識(shí)庫，標(biāo)識(shí)出不符合正常模式的行為活動(dòng)特點(diǎn)：異常檢測(cè)系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵。同時(shí)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源。常用技術(shù)統(tǒng)計(jì)方法預(yù)測(cè)模式神經(jīng)網(wǎng)絡(luò)異常檢測(cè)也稱為基于行為的檢測(cè)誤用檢測(cè)也稱為基于特征的檢測(cè)建立已知攻擊的知識(shí)庫，判別當(dāng)前行為活動(dòng)是否符合已知的攻擊模式特點(diǎn)：采用特征匹配，誤用檢測(cè)能明顯降低錯(cuò)報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無能為力。常用技術(shù)基于簡(jiǎn)單規(guī)則的模式匹配技術(shù)基于專家系統(tǒng)的檢測(cè)技術(shù)