TCSP－－入侵檢測技術原理網絡入侵的現狀深層防御體系及IDS的作用IDS的分類方法學IDS的結構入侵檢測的困惑第四代入侵檢測技術入侵檢測的新發展內容提要網絡安全網絡安全對應的英文是NetworkSecurity。Security和safety都譯為“安全”，但二者其實是有區別的，safety更側重物理實體上的安全。網絡安全領域的研究主要集中在計算機網絡。網絡安全基本上是一個實踐性的技術領域。安全威脅來源內部人員特殊身份人員外部個人和小組（所謂黑客）競爭對手和恐怖組織敵對國家和軍事組織自然和不可抗力網絡安全范疇網絡安全范疇包括的要素：數據：包括網絡上傳輸的數據和端系統中的數據。關系：網絡作為交流的重要手段，涉及到通信各方信賴關系的建立與維護，信賴關系就意味著能力和數據訪問權力的獲取。能力：包括網絡系統的傳輸能力與端系統的能力。網絡安全范疇網絡安全包含基本方面：數據保護：包括數據的機密性保護和完整性保護，這方面的理論比較完備（加密體制和算法）實現手段也比較完備。（信賴）關系保護：包括身份鑒別與安全的建立、維護信賴關系。基本手段包括加密與協議的安全設計。理論比較完備，實現手段有一定漏洞。能力保護：包括對網絡系統的傳輸功能與端系統的處理功能的保護。這方面的理論基礎基本上是實踐經驗的總結，運用的手段也基本上是試驗性的。能力保護相關的工作也是入侵檢測系統發揮作用之處。PPDR模型PPDR模型：策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）這是一個螺旋上升的過程，如下圖：圖一、PPDR模型示意圖PPDR模型策略是這個模型的核心，在制定好策略之后，網絡安全的其他幾個方面就要圍繞策略進行。防護是第一步，它的基礎是檢測與響應的結果。具體包括：安全規章的制定：在安全策略的基礎上制定安全細則。系統的安全配置：安裝各種必要補丁，并進行仔細配置。安全措施的采用：安裝防火墻、IDS、VPN軟件或設備等。檢測就是彌補防護對于攻擊的滯后時間的必要手段。檢測作用包括：異常監視：發現系統的異常情況。如不正常的登陸。模式發現：對已知的攻擊模式進行發現。響應就是發現攻擊企圖或者攻擊之后，需要系統及時進行反應報告：讓管理員知道是否有入侵。記錄：記錄入侵的各個細節以及系統的反應。反應：進行相應的處理以阻止進一步的入侵。恢復：清除入造成的影響，使系統恢復正常。網絡安全事件分類互聯網安全事件分類：網頁篡改網絡蠕蟲拒絕服務攻擊特羅伊木馬安全事件分類網頁篡改非法篡改主頁是指將網站中的主頁更換為黑客所提供的網頁。對計算機系統本身不會產生直接的損失，但對電子政務與電子商務等應用來說將被迫終止對外的服務。對政府網站而言，網頁的篡改，尤其是含有政治攻擊色彩的篡改，會對政府形象造成嚴重損害。針對網頁的篡改，目前國內已有成熟的網頁自動保護技術，使用網頁自動恢復軟件。安全事件分類網絡蠕蟲網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。它利用互聯網上計算機系統的漏洞進入系統，自我復制，并繼續向互聯網上的其它系統進行傳播。它的危害通常有兩個方面：蠕蟲在進入被攻擊的系統后，一旦具有控制系統的能力，就可以使得該系統被他人遠程操縱。其危害一是重要系統會出現失密現象，二是會被利用來對其他系統進行攻擊。蠕蟲的不斷蛻變并在網絡上的傳播，可能導致網絡被阻塞的現象發生，從而致使網絡癱瘓。網絡計算機病毒可以看作是網絡蠕蟲的特例，其差別僅是需要附著在其他程序上進行傳播。安全事件分類拒絕服務攻擊

拒絕服務攻擊是指在互聯網上組織多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問，使得被訪問的計算機窮于應付來勢兇猛的訪問而不能再提供正常的服務。對拒絕服務攻擊的處置方法只能通過網絡管理部門逐一排查攻擊源，并協調各攻擊源所在運營商進行清理。安全事件分類特羅伊木馬

特羅伊木馬（簡稱木馬）是一種隱藏在計算機系統中不為用戶所知的惡意程序，通常用于潛伏在計算機系統中來與外界連接，并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得，并且該系統也會被外界所控制，也可能會被利用作為攻擊其它系統的攻擊源。對這類問題的檢查，通常需要非常有經驗的技術人員才能勝任。

我國互聯網安全狀況信息和網絡的安全防護能力差

我國現在許多應用網絡系統處于不設防狀態，存在極大的信息安全風險和隱患。基礎信息產業嚴重依靠國外

我國的信息化建設，基本上是依賴國外技術設備裝備起來的。我們對其的研發、生產能力很弱，關鍵部位完全處于受制于人的地位。信息安全管理機構權威性不夠

國家在信息安全問題上缺乏一個專門的權威性機構。信息安全相關的民間管理機構與國家信息化領導機構之間還沒有充分溝通協調。全社會的信息安全意識淡薄

信息安全領域在研究開發、產業發展、人才培養、隊伍建設等方面和迅速發展的形勢極不適應，只是作為信息化的研究分支立項，投人很少，和國外差距越來越遠。IDS定義

IDS——入侵檢測系統入侵檢測：對系統的運行狀態進行監視，發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統資源的機密性、完整性和可用性。入侵檢測系統：進行入侵檢測的軟件與硬件的組合IDS屬性經濟性時效性安全性可擴展性IDS起源1980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（計算機安全威脅監控與監視）第一次詳細闡述了入侵檢測的概念計算機系統威脅分類:外部滲透、內部滲透和不法行為提出了利用審計跟蹤數據監視入侵活動的思想這份報告被公認為是入侵檢測的開山之作。IDS起源從1984年到1986年喬治敦大學的DorothyDenningSRI/CSL的PeterNeumann研究出了一個實時入侵檢測系統模型—IDES（入侵檢測專家系統）。IDS起源

1990，加州大學戴維斯分校的L.T.Heberlein等人開發出了NSM（NetworkSecurityMonitor）該系統第一次直接將網絡流作為審計數據來源，因而可以在不將審計數據轉換成統一格式的情況下監控異種主機入侵檢測系統發展史翻開了新的一頁，兩大陣營正式形成：基于網絡的IDS和基于主機的IDS。1994年提出自治代理，以提高IDS的可伸縮性、可維護性、效率與容錯性。1998年將信息檢索技術應用到入侵檢測系統。2000年出現分布式入侵檢測系統，是IDS發展史上的一個里程碑。IDS起源IDS的基本原理活動數據源感應器分析器管理器操作員管理員事件警報通告應急安全策略安全策略入侵檢測系統原理圖網絡入侵的現狀深層防御體系及IDS的作用IDS的分類方法學IDS的結構入侵檢測的困惑第四代入侵檢測技術入侵檢測的新發展內容提要一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據企業有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據訪問控制規則決定進出網絡的行為防火墻的作用防火墻的局限%c1%1c%c1%1cDirc:\

防火墻的局限防火墻的局限

據統計，80%的成功攻擊來自于防火墻內部！

防火墻的局限防火墻不能防止通向站點的后門。防火墻一般不提供對內部的保護。防火墻無法防范數據驅動型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸。確保網絡的安全,就要對網絡內部進行實時的檢測,這就需要IDS無時不在的防護！什么是入侵行為入侵行為主要是指對系統資源的非授權使用，它可以造成系統數據的丟失和破壞、可以造成系統拒絕對合法用戶服務等危害。什么是入侵檢測系統IDS（IntrusionDetectionSystem）就是入侵檢測系統，它通過抓取網絡上的所有報文，分析處理后，報告異常和重要的數據模式和行為模式，使網絡安全管理員清楚地了解網絡上發生的事件，并能夠采取行動阻止可能的破壞。什么是入侵檢測系統入侵檢測系統網絡數據包的獲取——混雜模式網絡數據包的解碼——協議分析網絡數據包的檢查——規則匹配網絡數據包的統計——異常檢測網絡數據包的審查——事件生成監控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網絡攝象機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝象機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠對入侵行為自動地進行反擊：阻斷連接、關閉道路（與防火墻聯動）。在安全體系中，IDS是唯一一個通過數據和行為模式判斷其是否有效的系統，防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止同一類人群中的破壞分子，也不能阻止內部的破壞分子；訪問控制系統可以不讓低級權限的人做越權工作，但無法保證高級權限的做破壞工作，也無法保證低級權限的人通過非法行為獲得高級權限入侵檢測系統的作用入侵檢測系統的職責IDS系統的兩大職責：實時檢測和安全審計。實時監測——實時地監視、分析網絡中所有的數據報文，發現并實時處理所捕獲的數據報文；安全審計——通過對IDS系統記錄的網絡事件進行統計分析，發現其中的異常現象，得出系統的安全狀態，找出所需要的證據。入侵檢測系統的具體工作監控網絡和系統發現入侵企圖或異常現象實時報警主動響應與其它設備聯動（防火墻、風險評估系統等）深層次防御體系的組成

聯動入侵檢測防火墻入侵檢測防御體系中的作用實時性協議層次應用層表示層會話層傳輸層IP層數據鏈層物理層實時準實時事后實時分析所有的數據包，決定是否允許通過監控所有的數據包，判斷是否非法，進行相應處理（如阻斷或者報警）記錄所有的操作以備事后查詢為系統提供全方位的保護審計系統深層次防御體系的特點深度防御可以對整個網絡提供不同級別的保護將網絡系統劃分安全級別并進行相應保護深度防御可以對入侵破壞行為進行取證IDS和審計系統可以進行電子取證深度防御可以有效防止蠕蟲、病毒的威脅IDS是網絡動態防病毒的核心組成深度防御能夠對系統提供最完備的保護從物理層直至應用層都可以得到保護深度防御不會破壞系統的效率和穩定性針對不同實時和效率要求進行不同保護深度防御可以識別、防范未知的新攻擊方式基于異常分析和行為分析的入侵檢測如何選擇合適的入侵檢測系統對入侵和攻擊的全面檢測能力新漏洞及最新的入侵手段（本地化的研發和售后服務）對抗欺騙的能力防誤報及漏報的能力（模式匹配、異常分析和智能分析）對抗攻擊的能力對抗針對IDS的拒絕服務的能力（事件風暴的防御）報警及阻斷能力多種類型的報警及阻斷功能可以提供全方位的保護本身的安全性IDS自身的加密認證及安全措施，惡意代碼或數據回傳人機界面方便管理，降低管理人員的負擔（多級控制，豐富報表等）網絡入侵的現狀深層防御體系及IDS的作用IDS的分類方法學IDS的結構入侵檢測的困惑第四代入侵檢測技術入侵檢測的新發展內容提要IDS分類方法學根據體系結構進行分類根據檢測原理進行分類根據系統特征進行分類根據體系結構進行分類集中式：這種結構的IDS可能有多個分布在不同主機上的審計程序，但只有一個中央入侵檢測服務器。等級式：定義了若干個分等級的監控區，每個IDS負責一個區，每一級IDS只負責所控區的分析，然后將當地的分析結果傳送給上一級。協作式：將中央檢測服務器的任務分佩給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監控當地主機的某些活動。根據檢測原理進行分類異常檢測(AnomalyDetection)：這種檢測方法是首先總結正常操作應該具有的特征；在得出正常操作的模型之后，對后續的操作進行監視，一旦發現偏離正常統計學意義上的操作模式，即進行報警。誤用檢測(MisuseDetection)：這種檢測方法是收集非正常操作（入侵）行為的特征，建立相關的特征庫；在后續的檢測過程中，將收集到的數據與特征庫中的特征代碼進行比較，得出是否有入侵行為。異常檢測前提：入侵是異常活動的子集用戶輪廓(Profile):通常定義為各種行為參數及其閥值的集合，用于描述正常行為范圍過程監控

量化比較判定

修正指標:漏報率低,誤報率高異常檢測特點異常檢測系統的效率取決于用戶輪廓的完備性和監控的頻率因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵系統能針對用戶行為的改變進行自我調整和優化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源異常檢測的常用技術基于統計學方法的異常檢測系統典型例子：NIDES基于神經網絡的異常檢測系統典型例子：NNID基于數據挖掘技術的異常檢測系統典型例子：MADAMID使用狀態機的異常檢測系統異常檢測模型異常檢測實現自學習系統：自學習系統通過學習事例構建正常行為模型時序的非時序的編程系統：該類系統需要通過編程學習如何檢測確定的異常事件，從而讓用戶知道什么樣的異常行為足以破壞系統的安全。描述統計缺省否認異常檢測實例分析NIDES引入的概念：度量（Measure）：主體行為的特性使用度量分為四類：行為強度(ActivityIntensity)度量審計記錄分布(auditrecorddistribution)度量絕對的(categorical)度量持續的(continuous)度量半生（Harf-life）、老化因子（AgingFactor）統計方法異常檢測實例分析不同的量度的使用目的：行為強度量度確定產生的活動量是否正常審計紀錄分布量度確定最近產生的審計記錄所紀錄的行為是否正常絕對的和持續的量度則確定在一類行為中（如訪問一個文件）產生的操作類型是否正常。異常檢測實例分析半生是用來設置構成短期行為和長期行為的審計記錄的數量或進行審計記錄的天數用的。通過設置半生可以讓越新的活動所占的權重越大，而在長期概貌里面很早期的活動會趨向于不起作用，也就說被“遺忘”了。這使NIDES具備了簡單的學習。老化因子也是審計紀錄權重的計算依據。老化因子包括短期老化因子和長期老化因子，前者作用于每一個審計紀錄，后者則作用于每一天的紀錄匯總。異常檢測理論本身存在的缺陷基于異常的入侵檢測系統首先學習對象的正常行為，并形成一個或一組值表示對象行為的概貌，而表示概貌的這些數據不容易進行正確性和準確性的驗證。通過比較長期行為的概貌和短期行為的概貌檢測出異常后，只能模糊的報告存在異常，不能精確的報告攻擊類型和方式，因此也不能有效地阻止入侵行為。通常基于異常的入侵檢測系統首先有一個學習過程，這個過程是否能夠正確反映對象的正常行為仍是問題所在；而且檢測的過程通常也是學習過程，而這個過程很可能被入侵者利用。誤用檢測前提：所有的入侵行為都有可被檢測到的特征攻擊特征庫:當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵過程監控

特征提取匹配判定指標:誤報低、漏報高

誤用檢測特點如果入侵特征與正常的用戶行能匹配，則系統會發生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統會發生漏報特點：采用特征匹配，濫用模式能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變化，會使得濫用檢測無能為力誤用檢測的模型審計數據誤用檢測系統攻擊狀態規則匹配？修正現有規則添加新的規則時間信息典型的基于誤用的入侵檢測系統模型誤用檢測系統的類型專家系統按鍵監視系統模型推理系統誤用預測系統狀態轉換分析系統模式匹配系統誤用檢測專家系統專家系統采用類似于if-then這種帶有因果關系的結構，使用由專家制定的規則來表示攻擊行為，并在此基礎上從審計事件中找到入侵。但是實際應用中有如下幾個問題：數據量問題數據順序問題專家的綜合能力問題規則庫缺少環境的適應能力維護問題模型推理檢測系統模型推理系統最早是由T.D.Garvey和T.F.Lunt提出來的，它主要通過構建一些誤用的模型，在此基礎上對某些行為活動進行監視，并推理出是否發生入侵行為。推理系統的組件構成先知模塊計劃模塊解釋模塊模型推理檢測系統

模型推理系統的優點它的推理過程有比較合理的數學理論模型。計劃模塊使攻擊行為表示與具體的審計數據相分離干擾信息會被忽略，降低需要處理數據量具有一定的預見性，可以采取一些防御性措施模型推理系統的缺點最后的限值定義不當，容易影響檢測的準確性檢驗工作比較難整體性能能否提高很難說維護困難模式匹配檢測系統模式匹配檢測系統是由入侵檢測領域的大師Kumar在1995年提出的。模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）入侵信號層次性依據底層的審計事件，可以從中提取出高層的事件（或者活動）；由高層的事件構成入侵信號，并依照高層事件之間的結構關系，劃分入侵信號的抽象層次并對其進行分析。實例化的層次結構意味著可以對每一層中匹配信號的復雜性邊界進行劃分。Kumar把入侵信號分成四層。入侵信號層次性存在（Existence）這種入侵信號表示只要存在這樣一種審計事件就足以說明發生了入侵行為或入侵企圖，它對應的匹配模式稱為存在模式（ExistencePattern）。存在模式是很重要的。尤其是當攻擊者破壞了系統的審計數據、導致提交的審計數據無法正常反應當前真實狀態的時候，通過主動的查詢可以起到很好的作用入侵信號層次性序列（Sequence）有些入侵是由一些按照一定順序發生的行為所組成的，它具體可以表現為一組事件的序列。其對應的匹配模式就是序列模式（SequencePattern）,這種入侵審計事件可以表示為在圖形中某個方向上一串連續的峰值。序列模式需要注意兩點間隔持續時間入侵信號層次性規則表示(RegularExpressions)

規則表示模式（REPatterns）是指用一種擴展的規則表達式方式構造匹配模式，規則表達式是由用AND邏輯表達式連接一些描述事件的原語構成的。適用這種模式的攻擊信號通常由一些相關的活動所組成，而這些活動間沒有什么事件順序的關系。入侵信號層次性其他其他模式（OtherPattern）是指一些不能用前面的方法進行表示的攻擊，在此統一為其他模式。例如：內部否定模式歸納選擇模式入侵信號層次性存在模式序列模式規則模式其他模式間隔持續時間匹配模式的層次關系模式匹配系統的特點把攻擊信號看成一種模式進行匹配的特點事件來源獨立描述和匹配相分離動態的模式生成多事件流可移植性模式匹配系統具體的實現問題模式的提取：要使提取的模式具有很高的質量，能夠充分表示入侵信號的特征，同時模式之間不能有沖突。匹配模式的動態增加和刪除：為了適應不斷變化的攻擊手段，匹配模式必須具有動態變更的能力增量匹配和優先級匹配：有事件流對系統處理能力產生很大壓力的時候，要求系統采取增量匹配的方法提高系統效率，或者可以先對高優先級的事件先行處理。完全匹配：匹配機制必須能夠對所有模式進行匹配的能力IDS分類方法學根據體系結構進行分類根據檢測原理進行分類根據系統特征進行分類根據系統特征進行分類分類特征應該考慮的重要因素檢測時間數據處理的粒度審計數據來源入侵檢測響應方式數據收集地點數據處理地點安全性互操作性根據系統特征進行分類根據檢測時間脫機分析：行為發生后，對產生的數據進行分析聯機分析:在數據產生的同時或者發生改變時進行分析根據系統特征進行分類數據處理的粒度基于數據流方式的粗粒度基于連接的細粒度

數據處理的粒度和檢測時間有一定的關系，但是二者并不完全一樣，一個系統可能在相當長的時延內進行連續數據處理，也可以實時地處理少量的批處理數據。根據系統特征進行分類審計數據來源基于網絡數據基于主機安全日志文件（包括操作系統的內核日志、應用程序日志、網絡設備日志）根據系統特征進行分類入侵響應方式被動響應：本身只會發出警告，不能試圖降低破壞，更不會主動地對攻擊者采取反擊行動主動響應：對被攻擊系統實施控制：它通過調整被攻擊系統的狀態，阻止或者減輕攻擊的危害對攻擊系統實施控制的系統：主動響應如果失敗可能使系統暴露在拒絕服務攻擊之下。根據系統特征進行分類數據收集或者處理地點集中式的分布式的IDS的實現方式-----網絡IDS主機IDS運行于被檢測的主機之上，通過查詢、監聽當前系統的各種資源的使用運行狀態，發現系統資源被非法使用和修改的事件，進行上報和處理。其監測的資源主要包括：網絡、文件、進程、系統日志等IDS的實現方式-----主機IDS主機IDS和網絡IDS的比較基于網絡的入侵檢測系統的主要優點有：（1）成本低。（2）攻擊者轉移證據很困難。（3）實時檢測和應答。一旦發生惡意訪問或攻擊，基于網絡的IDS檢測可以隨時發現它們，因此能夠更快地作出反應。從而將入侵活動對系統的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。（5）操作系統獨立。基于網絡的IDS并不依賴主機的操作系統作為檢測資源。而基于主機的系統需要特定的操作系統才能發揮作用。基于主機的IDS的主要優勢有：（1）非常適用于加密和交換環境。（2）實時的檢測和應答。（3）不需要額外的硬件。網絡入侵的現狀深層防御體系及IDS的作用IDS的分類方法學IDS的結構入侵檢測的困惑第四代入侵檢測技術入侵檢測的新發展內容提要IDS的基本結構IDS系統結構---探測引擎采用旁路方式全面偵聽網上信息流，實時分析將分析結果與探測器上運行的策略集相匹配執行報警、阻斷、日志等功能。完成對控制中心指令的接收和響應工作。探測器是由策略驅動的網絡監聽和分析系統。IDS的基本結構--引擎的功能結構IDS系統結構-----控制中心提供報警顯示提供對預警信息的記錄和檢索、統計功能制定入侵監測的策略；控制探測器系統的運行狀態收集來自多臺引擎的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應。這種分布式結構有助于系統管理員的集中管理，全面搜集多臺探測引擎的信息，進行入侵行為的分析。IDS的基本結構--控制中心的功能結構網絡入侵檢測系統的部署方式NIDS的位置必須要看到所有數據包共享媒介HUB交換環境隱蔽模式千兆網分布式結構SensorConsole

HUBIDSSensorMonitoredServersConsole網絡入侵檢測系統的部署方式

SwitchIDSSensorMonitoredServersConsole網絡入侵檢測系統的部署方式

SwitchIDSSensorMonitoredServersConsole不設IP網絡入侵檢測系統的部署方式

IDSSensorsL4或L7交換設備網絡入侵檢測系統的部署方式IDS的系統結構單機結構：引擎和控制中心在一個系統之上，不能遠距離操作，只能在現場進行操作。優點是結構簡單，不會因為通訊而影響網絡帶寬和泄密。分布式結構就是引擎和控制中心在2個系統之上，通過網絡通訊，可以遠距離查看和操作。目前的大多數IDS系統都是分布式的。優點不是必需在現場操作，可以用一個控制中心控制多個引擎，可以統一進行策略編輯和下發，可以統一查看申報的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。IDS的系統結構--分布式結構圖網絡入侵的現狀深層防御體系及IDS的作用IDS的分類方法學IDS的結構入侵檢測的困惑第四代入侵檢測技術入侵檢測的新發展內容提要入侵檢測—沒有用的技術？入侵檢測——一種被提及太多的技術

——一種容易引起誤解的技術那么，入侵檢測是不是沒有用了？管理人員需要了解網絡中正在發生的各種活動管理人員需要在攻擊到來之前發現攻擊行為管理人員需要識別異常行為需要有效的工具進行針對攻擊行為以及異常的實時和事后分析入侵檢測系統逐漸成為安全防護體系中不可缺少的一部分Awarenessisthekeytosecurity入侵檢測是審計的基礎入侵檢測是網管的基礎網絡入侵的現狀深層防御體系及IDS的作用IDS的分類方法學IDS的結構入侵檢測的困惑第四代入侵檢測技術入侵檢測的新發展內容提要第四代入侵管理技術

現代入侵攻擊技術:新一代主動式惡意代碼極短時間內（Flashworms---30s），利用優化掃描的方法，感染近十萬個有漏洞的系統,可以確定并記錄是否被擊中（4-5分鐘，感染近百萬臺系統）。掃描探測傳遞復制被感染的機器

有漏洞的機器第四代入侵管理技術入侵發展（目標、入侵者攻擊能力、傳播速度、工具數量、復雜、隱蔽）

利用加密傳播惡意代碼

各種技術和策略間的互操作及關聯分析

日益增長的網絡流量

抵御入侵面臨的挑戰第四代入侵管理技術入侵檢測術語未統一

入侵檢測系統維護非常困難

在采取不適當的自動響應行為中存在風險

入侵檢測系統可能自己攻擊自己

抵御入侵面臨的挑戰第四代入侵管理技術誤報漏報使得系統準確性大大折扣

客觀性的測評信息缺乏（如何選擇和評價）

高速網絡與實時分析

直觀的事件分析報告

抵御入侵面臨的挑戰第四代入侵管理技術第一代：協議解碼+模式匹配優點：對已知攻擊，極其有效，誤報率低缺點：極其容易躲避，漏報率高第四代入侵管理技術第二代：模式匹配+簡單協議分析+異常統計 優點：能夠分析處理一部分協議，重