第5章入侵检测技术

1、第第5 5章入侵检测技术章入侵检测技术l5.1 入侵检测概述 l5.2 入侵检测系统分类 l5.3 入侵检测系统的分析方式 l5.4 入侵检测系统的设置 l5.5 入侵检测系统的部署 l5.6 入侵检测系统的优点与局限性 第第5 5章入侵检测技术章入侵检测技术l（1）入侵检测的结构 l（2）入侵检测系统分类 l（3）入侵检测系统分析方式 l（4）入侵检测系统的设置与部署 l（5）入侵检测系统的优缺点 第第5 5章入侵检测技术章入侵检测技术l5.1.1 基本概念 l5.1.2 入侵检测系统的结构 第第5 5章入侵检测技术章入侵检测技术1入侵行为入侵行为 入侵行为主要指对系统资源的非授权使用，它可

2、入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。对合法用户服务等后果。2入侵检测入侵检测 入侵检测技术是一种网络信息安全新技术，它可入侵检测技术是一种网络信息安全新技术，它可以弥补防火墙的不足，对网络进行监测，从而提供对以弥补防火墙的不足，对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。因此，入侵检测系统被认为是防火墙

3、之后络连接等。因此，入侵检测系统被认为是防火墙之后的第二道安全闸门。入侵检测技术是一种主动保护系的第二道安全闸门。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。统免受黑客攻击的网络安全技术。 第第5 5章入侵检测技术章入侵检测技术3入侵检测系统入侵检测系统 入侵检测系统是一种能够通过分析系统安全相关数据入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。来检测入侵活动的系统。 入侵检测系统的主要功能有以下几点：入侵检测系统的主要功能有以下几点：l监测并分析用户和系统的活动。监测并分析用户和系统的活动。l核查系统配置和漏洞。核查系统配置和漏洞。l评估系统关键资源和数据

4、文件的完整性。评估系统关键资源和数据文件的完整性。l识别已知的攻击行为。识别已知的攻击行为。l统计分析异常行为。统计分析异常行为。l对操作系统进行日志管理，并识别违反安全策略的用对操作系统进行日志管理，并识别违反安全策略的用户活动。户活动。 第第5 5章入侵检测技术章入侵检测技术 CIDF（Common Intrusion Detection Framework）阐述了一个入侵检测系统的通用模型，如图阐述了一个入侵检测系统的通用模型，如图5-1所示。所示。 第第5 5章入侵检测技术章入侵检测技术l5.2.1 基于主机的入侵检测系统 l5.2.2 基于网络的入侵检测系统 l5.2.3 基于内核的

5、入侵检测系统 l5.2.4 两种入侵检测系统的结合运用l5.2.5 分布式的入侵检测系统 第第5 5章入侵检测技术章入侵检测技术 基于主机的入侵检测系统用于保护单台主机不受基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。网络攻击行为的侵害，需要安装在被保护的主机上。 按照检测对象的不同，基于主机的入侵检测系统按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测。可以分为两类：网络连接检测和主机文件检测。 1网络连接检测网络连接检测 网络连接检测是对试图进入该主机的数据流进行网络连接检测是对试图进入该主机的数据流进行检测，分析

6、确定是否有入侵行为，避免或减少这些数检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害。据流进入主机系统后造成损害。 第第5 5章入侵检测技术章入侵检测技术 2主机文件检测主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。或入侵企图，及时采取补救措施。 主机文件检测的检测对象主要包括以下几种：主机文件检测的检测对象主要包括以下几种： （1）系统日志。）系统日志。 （2）文件系统。）文件系统。 （3）进程记

7、录。）进程记录。 第第5 5章入侵检测技术章入侵检测技术基于主机的入侵检测系统具有以下优点：基于主机的入侵检测系统具有以下优点：l检测准确度较高。检测准确度较高。l可以检测到没有明显行为特征的入侵。可以检测到没有明显行为特征的入侵。l能够对不同的操作系统进行有针对性的检测。能够对不同的操作系统进行有针对性的检测。l成本较低。成本较低。l不会因网络流量影响性能。不会因网络流量影响性能。l适于加密和交换环境。适于加密和交换环境。基于主机的入侵检测系统具有以下不足：基于主机的入侵检测系统具有以下不足：l实时性较差。实时性较差。l无法检测数据包的全部。无法检测数据包的全部。l检测效果取决于日志系统。检

8、测效果取决于日志系统。l占用主机资源。占用主机资源。l隐蔽性较差。隐蔽性较差。l如果入侵者能够修改校验和，这种入侵检测系统将无法起到预期的作用。如果入侵者能够修改校验和，这种入侵检测系统将无法起到预期的作用。第第5 5章入侵检测技术章入侵检测技术 基于网络的入侵检测系统通常是作为一个独立的个基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一器来实时监视和分析所有通

9、过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。以及中断连接等方式来对攻击做出反应。 1 1包嗅探器和网络监视器包嗅探器和网络监视器 2包嗅探器和混杂模式包嗅探器和混杂模式 3基于网络的入侵检测基于网络的入侵检测 第第5 5章入侵检测技术章入侵检测技术基于网络的入侵检测系统可以执行以下任务：基于网络的入侵检测系统可以执行以下任务：（1 1）检测端口扫描。在攻击一个系统时，一个入侵者）检测端口扫描。在攻击一个系统时，一个入侵者通常对该系统进行端口扫描，从而判断存在哪些脆弱性。通常对该系统进

10、行端口扫描，从而判断存在哪些脆弱性。企图对企图对InternetInternet上的一台主机进行端口扫描通常是一个上的一台主机进行端口扫描通常是一个人要试图破坏网络的一个信号。人要试图破坏网络的一个信号。（2 2）检测常见的攻击行为。访问）检测常见的攻击行为。访问WebWeb服务器的服务器的8080端口通端口通常被认为是无害的活动，但是，一些访问企图事实上是常被认为是无害的活动，但是，一些访问企图事实上是故意在进行攻击，或者试图攻击。故意在进行攻击，或者试图攻击。（3 3）识别各种各样可能的）识别各种各样可能的IPIP欺骗攻击。用来将欺骗攻击。用来将IPIP地址地址转化为转化为MACMAC地址

11、的地址的ARPARP协议通常是一个攻击目标。通过在协议通常是一个攻击目标。通过在以太网上发送伪造的以太网上发送伪造的ARPARP数据包，已经获得系统访问权数据包，已经获得系统访问权限的入侵者可以假装是一个不同的系统在进行操作。限的入侵者可以假装是一个不同的系统在进行操作。 第第5 5章入侵检测技术章入侵检测技术基于网络的入侵检测系统有以下优点：基于网络的入侵检测系统有以下优点：l可以提供实时的网络行为检测。可以提供实时的网络行为检测。l可以同时保护多台网络主机。可以同时保护多台网络主机。l具有良好的隐蔽性。具有良好的隐蔽性。l有效保护入侵证据。有效保护入侵证据。l不影响被保护主机的性能。不影响

12、被保护主机的性能。基于网络的入侵检测系统有以下不足：基于网络的入侵检测系统有以下不足：l防入侵欺骗的能力通常较差。防入侵欺骗的能力通常较差。l在交换式网络环境中难以配置。在交换式网络环境中难以配置。l检测性能受硬件条件限制。检测性能受硬件条件限制。l不能处理加密后的数据。不能处理加密后的数据。第第5 5章入侵检测技术章入侵检测技术 基于内核的入侵检测是一种较新的技术，近来它基于内核的入侵检测是一种较新的技术，近来它开始流行起来，特别是在开始流行起来，特别是在Linux上。在上。在Linux上目前可上目前可用的基于内核的入侵检测系统主要有两种：用的基于内核的入侵检测系统主要有两种：OpenWal

13、l和和LIDS。这些系统采取措施防止缓冲区溢出，增加文。这些系统采取措施防止缓冲区溢出，增加文件系统的保护，封闭信号，从而使入侵者破坏系统越件系统的保护，封闭信号，从而使入侵者破坏系统越来越困难。来越困难。LIDS同时也采取一些步骤以阻止根用户的同时也采取一些步骤以阻止根用户的一些活动，例如安装一个包嗅探器或改变防火墙策略。一些活动，例如安装一个包嗅探器或改变防火墙策略。 第第5 5章入侵检测技术章入侵检测技术 基于网络的入侵检测系统和基于主机的入侵检测基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发系统都有各自的优势和不足，这两种方式各自都能发现对方无

14、法检测到的一些网络入侵行为，如果同时使现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。用互相弥补不足，会起到良好的检测效果。 基于网络的入侵检测系统通过检查所有的数据包基于网络的入侵检测系统通过检查所有的数据包头来进行检测，而基于主机的入侵检测系统并不查看头来进行检测，而基于主机的入侵检测系统并不查看包头。基于网络的入侵检测系统可以研究负载的内容，包头。基于网络的入侵检测系统可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的入侵检测系统迅速识别；而基于主实时检查包序列的入侵检测系统

15、迅速识别；而基于主机的入侵检测系统无法看到负载，因此也无法识别嵌机的入侵检测系统无法看到负载，因此也无法识别嵌入式的负载攻击。入式的负载攻击。 第第5 5章入侵检测技术章入侵检测技术 采用分布式结构的入侵检测模式是解决方案之一，采用分布式结构的入侵检测模式是解决方案之一，也是目前入侵检测技术的一个研究方向。这种模式的也是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构，由一个或者多个中系统采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责统一其中本

16、地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。协作共同完成。 第第5 5章入侵检测技术章入侵检测技术l5.3.1 异常检测技术基于行为的检测 l5.3.2 误用检测技术基于知识的检测 l5.3.3 异常检测技术和误用检测技术的比较 l5.3.4 其他入侵检测技术的研究 第第5 5章入侵检测技术章入侵检测技术1异常检测技术的基本原理异常检测技术的基本原理 异常检测技术（异常检测技术（Anomaly Dete

17、ction）也称为基于行）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。用状况判断是否存在网络入侵。 异常检测技术首先假设网络攻击行为是不常见的或异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹

18、，为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来。就可以被检测出来。 第第5 5章入侵检测技术章入侵检测技术2异常检测技术的评价异常检测技术的评价 l能够检测出新的网络入侵方法的攻击。能够检测出新的网络入侵方法的攻击。l较少依赖于特定的主机操作系统。较少依赖于特定的主机操作系统。l对于内部合法用户的越权违法行为的检测能力较强。对于内部合法用户的越权违法行为的检测能力较强。异常检测技术有以下不足：异常检测技术有以下不足：l误报率高。误报率高。l行为模型建立困难。行为模型建立困难。l难以对入侵行为进行分类和命名。难以对入侵行为进行分类和命名。第第5 5章入侵检测技术章入侵检测技术3

19、异常检测技术分类异常检测技术分类 （1）统计分析异常检测。）统计分析异常检测。 （2）贝叶斯推理异常检测。）贝叶斯推理异常检测。 （3）神经网络异常检测。）神经网络异常检测。 （4）模式预测异常检测。）模式预测异常检测。 （5）数据采掘异常检测。）数据采掘异常检测。 （6）机器学习异常检测。）机器学习异常检测。 第第5 5章入侵检测技术章入侵检测技术1误用检测技术入侵检测系统的基本原理误用检测技术入侵检测系统的基本原理 误用检测技术（误用检测技术（Misuse Detection）也称为基于）也称为基于知识的检测技术或者模式匹配检测技术。它的前提知识的检测技术或者模式匹配检测技术。它的前提是假

20、设所有的网络攻击行为和方法都具有一定的模是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。认定为入侵行为。 第第5 5章入侵检测技术章入侵检测技术2误用检测技术的评价误用检测技术的评价 误用检测技术有以下优点：误用检测技术有以下优点：l检

21、测准确度高。检测准确度高。l技术相对成熟。技术相对成熟。l便于进行系统防护。便于进行系统防护。误用检测技术有以下缺点：误用检测技术有以下缺点：l不能检测出新的入侵行为。不能检测出新的入侵行为。l完全依赖于入侵特征的有效性。完全依赖于入侵特征的有效性。l维护特征库的工作量巨大。维护特征库的工作量巨大。l难以检测来自内部用户的攻击。难以检测来自内部用户的攻击。第第5 5章入侵检测技术章入侵检测技术3误用检测技术的分类误用检测技术的分类 （1）专家系统误用检测。）专家系统误用检测。 （2）特征分析误用检测。）特征分析误用检测。 （3）模型推理误用检测。）模型推理误用检测。 （4）条件概率误用检测。）

22、条件概率误用检测。 （5）键盘监控误用检测。）键盘监控误用检测。 第第5 5章入侵检测技术章入侵检测技术 基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，基于异常检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓。对于基做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓。对于基于误用检测技术的入侵检测系统而言，只有拥有所有可能的入侵行为的先于误用检测技术的入侵检测系统而言，只有拥有所有可能

23、的入侵行为的先验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特验知识，而且必须能识别各种入侵行为的过程细节或者每种入侵行为的特征模式，才能检测到所有的入侵行为，而这种情况也是不存在的，该类入征模式，才能检测到所有的入侵行为，而这种情况也是不存在的，该类入侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为侵检测系统只能检测出已有的入侵模式，必须不断地对新出现的入侵行为进行总结和归纳。进行总结和归纳。 在入侵检测系统的配置方面，基于异常检测技术的入侵检测系统通常在入侵检测系统的配置方面，基于异常检测技术的入侵检测系统通常比基于误用检测技术的入侵检测系统所做的工作要少很

24、多，因为异常检测比基于误用检测技术的入侵检测系统所做的工作要少很多，因为异常检测需要对系统和用户的行为轮廓进行不断地学习更新，需要做大量的数据分需要对系统和用户的行为轮廓进行不断地学习更新，需要做大量的数据分析处理工作，要求管理员能够总结出被保护系统的所有正常行为状态，对析处理工作，要求管理员能够总结出被保护系统的所有正常行为状态，对系统的已知和期望行为进行全面的分析，因此配置难度相对较大。但是，系统的已知和期望行为进行全面的分析，因此配置难度相对较大。但是，有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行有些基于误用检测技术的入侵检测系统允许管理员对入侵特征数据库进行修改，甚

25、至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征修改，甚至允许管理员自己根据所发现的攻击行为创建新的网络入侵特征规则记录，这种入侵检测系统在系统配置方面的工作量会显著增加。规则记录，这种入侵检测系统在系统配置方面的工作量会显著增加。 第第5 5章入侵检测技术章入侵检测技术 入侵检测系统的研究方向之一是将各个领域的研究成果应用于入侵检入侵检测系统的研究方向之一是将各个领域的研究成果应用于入侵检测中，以形成更高效、更为智能化的检测算法，提高入侵检测的应用价值。测中，以形成更高效、更为智能化的检测算法，提高入侵检测的应用价值。目前研究的重点有遗传算法和免疫技术等。目前研究的重点有遗传算法和免

26、疫技术等。 1 1遗传算法遗传算法 遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于遗传算法的基本原理是首先定义一组入侵检测指令集，这些指令用于检测出正常或者异常的行为。检测出正常或者异常的行为。2 2免疫技术免疫技术 免疫技术应用了生物医学中的免疫系统原理。处于网络环境中的主机免疫技术应用了生物医学中的免疫系统原理。处于网络环境中的主机之所以受到入侵，是因为主机系统本身以及所运行的应用程序存在着各种之所以受到入侵，是因为主机系统本身以及所运行的应用程序存在着各种脆弱性因素，网络攻击者正是利用这些漏洞来侵入到主机系统中的；在生脆弱性因素，网络攻击者正是利用这些漏洞来侵入到主机系统中

27、的；在生物系统中同样存在各种脆弱性因素，因此会受到病毒、病菌的攻击。而生物系统中同样存在各种脆弱性因素，因此会受到病毒、病菌的攻击。而生物体拥有免疫系统来负责检测和抵御入侵，免疫机制包括特异性免疫和非物体拥有免疫系统来负责检测和抵御入侵，免疫机制包括特异性免疫和非特异性免疫。特异性免疫针对于特定的某种病毒，非特异性免疫可用于检特异性免疫。特异性免疫针对于特定的某种病毒，非特异性免疫可用于检测和抵制以前从未体验过的入侵类型。测和抵制以前从未体验过的入侵类型。 第第5 5章入侵检测技术章入侵检测技术入侵检测系统的设置主要分为以下几个基本的步骤：入侵检测系统的设置主要分为以下几个基本的步骤：（1）确

28、定入侵检测需求。）确定入侵检测需求。（2）设计入侵检测系统在网络中的拓扑位置。）设计入侵检测系统在网络中的拓扑位置。（3）配置入侵检测系统。）配置入侵检测系统。（4）入侵检测系统磨合。）入侵检测系统磨合。（5）入侵检测系统的使用及自调节。）入侵检测系统的使用及自调节。这些步骤的操作流程如图这些步骤的操作流程如图5-25-2所示。所示。 第第5 5章入侵检测技术章入侵检测技术 在图在图5-2中可以看到，在设置的过程中要进行多次的回溯，而在这中可以看到，在设置的过程中要进行多次的回溯，而在这几次回溯中，第几次回溯中，第3、第、第4步之间的回溯过程会重复多次，通过不断地调整步之间的回溯过程会重复多次

29、，通过不断地调整入侵检测系统的检测配置，将误报警率和漏报警率降到最低，使得入侵入侵检测系统的检测配置，将误报警率和漏报警率降到最低，使得入侵检测系统能够在最佳状态下进行检测分析。而在使用中，随着网络整体检测系统能够在最佳状态下进行检测分析。而在使用中，随着网络整体结构的改变（包括增加新的应用或服务器、检测方式更新等），入侵检结构的改变（包括增加新的应用或服务器、检测方式更新等），入侵检测系统的设置也要进行相应地修改，以保证能够适应新的变化。测系统的设置也要进行相应地修改，以保证能够适应新的变化。 第第5 5章入侵检测技术章入侵检测技术l5.5.1 基于网络入侵检测系统的部署 l5.5.2 基于

30、主机入侵检测系统的部署 l5.5.3 报警策略 第第5 5章入侵检测技术章入侵检测技术 入侵检测的部署点可以划分为入侵检测的部署点可以划分为4个位置：个位置：DMZ区；区；外网入口；内网主干；关键子网，如图外网入口；内网主干；关键子网，如图5-3所示。所示。 第第5 5章入侵检测技术章入侵检测技术 在基于网络的入侵检测系统部署并配置完成后，基于主机的在基于网络的入侵检测系统部署并配置完成后，基于主机的入侵检测系统的部署可以给系统提供高级别的保护。但是，将基入侵检测系统的部署可以给系统提供高级别的保护。但是，将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当于主机的入侵检测系统安装在企

31、业中的每一个主机上是一种相当大的时间和资金的浪费，同时每一台主机都需要根据自身的情况大的时间和资金的浪费，同时每一台主机都需要根据自身的情况进行特别的安装和设置，相关的日志和升级维护是巨大的。进行特别的安装和设置，相关的日志和升级维护是巨大的。 因此，基于主机的入侵检测系统主要安装在关键主机上，这因此，基于主机的入侵检测系统主要安装在关键主机上，这样可以减少规划部署的花费，使管理的精力集中在最重要最需要样可以减少规划部署的花费，使管理的精力集中在最重要最需要保护的主机上。同时，为了便于对基于主机的入侵检测系统的检保护的主机上。同时，为了便于对基于主机的入侵检测系统的检测结果进行及时检查，需要对

32、系统产生的日志进行集中。通过进测结果进行及时检查，需要对系统产生的日志进行集中。通过进行集中的分析、整理和显示，可以大大减少对网络安全系统日常行集中的分析、整理和显示，可以大大减少对网络安全系统日常维护的复杂性和难度。由于基于主机的入侵检测系统本身需要占维护的复杂性和难度。由于基于主机的入侵检测系统本身需要占用服务器的计算和存储资源，因此，要根据服务器本身的空闲负用服务器的计算和存储资源，因此，要根据服务器本身的空闲负载能力选取不同类型的入侵检测系统并进行专门的配置。载能力选取不同类型的入侵检测系统并进行专门的配置。 第第5 5章入侵检测技术章入侵检测技术 入侵检测系统在检测到入侵行为时，需要

33、报警并进行相应的入侵检测系统在检测到入侵行为时，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。和安全的需求进行确定。 网络安全需求不同，入侵检测报警也就存在不同的方式。如网络安全需求不同，入侵检测报警也就存在不同的方式。如对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行为上；关键性服务企业则需要将尽可能多的报警进行记录并对部为上；关键性服务企业则需要将尽可能多的报警进行记录并对部分认定的报警进行实时的反馈。分认定的报警进行实

34、时的反馈。 第第5 5章入侵检测技术章入侵检测技术l5.6.1 入侵检测系统的优点 l5.6.2 入侵检测系统的局限性 第第5 5章入侵检测技术章入侵检测技术 入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着很多方面的安全优势：很多方面的安全优势：l可以检测和分析系统事件以及用户的行为。可以检测和分析系统事件以及用户的行为。l可以测试系统设置的安全状态。可以测试系统设置的安全状态。l以系统的安全状态为基础，跟踪任何对系统安全的修改操作。以系统的安全状态为基础，跟踪任何对系统安全的修改操作。l通过模式识别等技术从通信行为中检测出已知的攻击行为。通过模式识别等技术从通信行为中检测出已知的攻击行为。l可以对网络通信行为进行统计，并进行检测分析。可以对网络通信行为进行统计，并进行检测分析。l管理操作系统认证和日志机制并对产生的数据进行分析处理。管