第章入侵检测概述

第1章

入侵检测概述

曹元大主编，人民邮电出版社，2007年

1入侵检测概述第1章入侵检测概述概述:网络安全基本概念入侵检测的产生与发展入侵检测的基本概念2入侵检测概述记住两句话真正的安全是一种意识，而非技术!世界上没有一种技术能够真正保证绝对安全，即没有一种技术可以百分百解决网络上的所有问题！3入侵检测概述单一产品的缺陷动态多变的网络环境1防御方法和防御策略的有限性

2来自外部和内部的威胁34入侵检测概述安全事件模式5入侵检测概述传统的安全措施

加密数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议：IPSec、SSL网络安全产品与技术：防火墙、VPN防火墙在大多数机构的网络安全策略中起到支柱作用6入侵检测概述防火墙的位置

7入侵检测概述防火墙STOP!1.验明正身2.检查权限防火墙的作用阻绝非法进出8入侵检测概述防火墙办不到的事防火墙病毒等恶性程序可利用email夹带闯关防火墙无法有效解决自身的安全问题

不能提供实时的攻击检测能力，防火墙只是按照固定的工作模式来防范已知的威胁

防火墙不能阻止来自内部的攻击9入侵检测概述IDS置于防火墙与内部网之间10入侵检测概述为什么需要入侵检测系统入侵行为日益严重攻击工具唾手可得入侵教程随处可见内部的非法访问内部网的攻击占总的攻击事件的70%以上没有监测的内部网是内部人员的“自由王国”边界防御的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止Internet上下载被病毒感染的程序11入侵检测概述为什么需要入侵检测系统如：穿透防火墙的攻击client/scripts/..%255c..%255cwinnt......12入侵检测概述一、入侵检测的概念及功能入侵检测系统的发展历史入侵检测的作用入侵检测系统的功能13入侵检测概述入侵检测系统的历史1980年JamesP.Anderson可以使用审计记录以标识误用威胁分类的分类学建议在审计子系统的基础上进行改进以检测误用14入侵检测概述入侵检测系统的历史1985年SRI由美国海军（SPAWAR）资助以建立IntrusionDetectionExpertSystem(IDES)－入侵检测专家系统（IDES）

的初步原型。第一个系统中同时使用了statisticalandrule-based－基于统计和基于规则的方法。

15入侵检测概述入侵分检测窗系统止的历婶史19益86年Do垂ro趟th叹y它De侨nn察in马g发表暂了“An苹I裳nt睡ru息si据on若-D笨et厨ec盯ti睁on伍M狡od穷el-一个佛入侵刘检测吵的模茶型”，入姜侵检恒测领新域开录创性丛的工圾作。基本微的行芹为分越析机疯制。一些兼可能美的实钢现系龄统的沉方法驳。16入侵办检测短概述入侵惭检测鞭系统亚的历尚史19伍89年To刚ddHe梢be亦rl廊ie裙n，Ca充li鞠fo寸rn腰ia祥,世Da滴vi划s大学扔的一造个学少生写了Ne边tw疫or饲k稍Se黄cu行ri堂tyMo资ni宏to晴r(馒NS叼M)－网肆络安斜全监挽视器端（NS幕M），系某统设绝计用痕于捕熟获TC冠P/塔IP包并麦检测息异构遍网络窑中的黎异常缝行动流。网络煌入侵咸检测斤诞生17入侵扩检测晕概述入侵只检测歼系统利的历窑史19炼92年计算风机误倚用检恨测系缘瑞统（CM塔DS）Co捆mp污ut思er义M祥is稼us找e己De劈燕te坡ct殖io真nSy贝st苹em语(C育MD阶S)Sc繁re涌en严A宿pp旨li症ca竭ti爆on足I闯nt妙er玩na骨ti轻on袜alCo升rp铃or隐at耳io误n(欣SA挣IC)基于晶在海睬军报爱告调劈燕查中位完成似的工谈作St牙al扩ke贵r（Ha乳ys灯ta作ck袜L寇ab惧s.）基于钢为空觉军完翁成的葛原Ha融ys坦ta诸ck工作斥，第玻一个乓商业佛化的稍主机ID共S，用阶于UN肢IX18入侵遮检测耻概述入侵立检测剪系统爬的历饰史19驰94年A敲gr陈ou齿p昌of河r前es逼ea恒rc剑he抢rs数a呈t党th帆e空军职加密笼支持节中心喜（Ai最r粱Fo乓rc惜eCr沿yp陈to吹lo汪gi竞ca闹lSu虽pp绘or夹t筹Ce欢nt拖er）的糖一组佩研究惕人员北创建寄了鲁你棒的模网络亏入侵筹检测尝系统辽，AS四IM，广门泛用孔于空许军。来自军于一矿家商握业化狗公司Wh毁ee爱lg肆ro抖up的开狭发人酿员开营始商配业化哭网络童入侵来检测祥技术纯。19入侵狂检测增概述入侵计检测贤系统跟的历士史19岂97年Ci欠sc植o收购歌了Wh贺ee尤lg队ro呆up并开刚始将妄网络奖入侵溜检测楚加入粮路由秘器中脏。In型te重rn禾et岔S旱ec编ur袭it均y魔Sy馅st昼em燃s发布探了Re致al块se冻cu捞re，Wi虹nd仰ow深s载NT的网萌络入蛇侵检迹测系顽统。开始鸦了网鸦络入钞侵检挣测的逢革命瓦。20入侵贝检测帽概述入侵床检测饶系统跌的历教史19妇98年Ce视nt剧ra志x公司工发布铃了eN靠Tr卷ax，用于Wi恼nd克ow程s恶NT的分薯布主闯机入劣侵检风测系光统Ce屿nt储ra个x是由CM浴DS的开子发人师员组婚成，同后来赞加入挖了建旱立St另al义ke贡r的技比术队俱伍。21入侵惩检测辉概述入侵哄检测红系统醉的历矿史从20世纪90年代惯到现吵在，翠入侵伸检测昂系统高的研宫发呈漫现出掘百家牲争鸣港的繁差荣局浅面，撞并在练智能江化和妄分布宵式两结个方森向取毕得了奖长足峰的进峡展22入侵召检测被概述什么亭是入培侵检吊测系鼓统对信闲息系衔统的寨非授朝权访犁问及龄（或炕）未朋经许翻可在歼信息蚕系统饼中进胜行操占作入侵In带tr衣us席io脊n入侵贡检测In伶tr幕us问io问n提De地te状ct稼io甜n对企根图入肯侵、宋正在消进行蕉的入邀侵或忠已经欣发生吨的入寸侵进胜行识治别的涉过程入侵秤检测弦系统吧（ID正S）用于题辅助冬进行恒入侵延检测肆或者欣独立坛进行屯入侵库检测落的自街动化漆工具23入侵套检测怜概述实时恒监控俗非法沙入侵叛的过橡程示屠意图报警日志遍记录攻击斧检测记录节入侵过程重新姿配置防火季墙路由胶器内部入侵入侵租检测记录终止迁入侵24入侵滨检测述概述ID献S监控拔非法袜入侵览的案衬例20皮01凤年4渴月，煌广东归某IS邮P和某对数据邀分局义的网舱络系乔统受京到入陈侵攻峰击。25入侵融检测瘦概述从不软知到有吵知从被棵动到主层动从事续后到事绣前从预大警到保厘障入侵彩检测忘发挥摇的作甜用26入侵锤检测藏概述从不底知到有则知入侵盼检测延发挥言的作雁用技术松层面箩：对具魄体的戏安全缩慧技术多人员捡，可以利用ID勾S做为捐工具并来发艺现安肥全问章题、汇解决邀问题胀。27入侵旺检测贞概述入侵仪检测惠发挥猎的作甩用管理血层面锋：对安绢全管归理人造员来拨说，雪是可荡以把ID势S做为骑其日建常管住理上抗的有蓄效手弦段。从被顾动到主劣动28入侵对检测渣概述入侵滑检测鹅发挥触的作座用领导群层面沙：对安只全主批管领段导来异说，宴是可视以把ID陷S做为忍把握聋全局探一种割有效靠的方法，目牧的是香提高拌安全星效能受。从事袭后到事丙前29入侵段检测麦概述入侵沃检测洲发挥卡的作根用意识趣层面李：对政在府或罩者大热的行近业来窝说，慎是可愉以通筑过ID改S来建悉立一抢套完挖善的竿网络泛预警膀与响码应体脾系，甲减小坐安全辣风险她。从预最警到保科障30入侵袍检测惨概述监控芹室=控制猫中心CardKey入侵扫检测块系统乓的作牺用监控逝前门钟和保服安监控夏屋内宣人员监控持后门监控煮楼外31入侵浇检测肌概述入侵胃检测胆系统庸的功桐能监控责用户继和系未统的纲活动查找家非法读用户夕和合父法用的户的虎越权丈操作检测约系统龄配置膀的正蹲确性蔬和安敌全漏丛洞评估榆关键棍系统怎和数刻据的男完整陕性识别扶攻击偿的活饶动模果式并公向网敬管人壳员报术警对用另户的秋非正慰常活巾动进绿行统惊计分越析，超发现冰入侵浮行为正的规邀律操作展系统稼审计沃跟踪岗管理末，识保别违悼反政犯策的蠢用户普活动检查花系统季程序顷和数蹄据的胞一致侦性与还正确忠性32入侵赠检测掌概述入侵妙检测承的优剑点提高视信息还安全坐构造愚的其滨他部湿分的匠完整穷性提高盈系统揭的监番控从入肌口点有到出笔口点恶跟踪拼用户病的活纤动识别难和汇阳报数鸦据文绞件的笼变化侦测婆系统洪配置虹错误倾并纠扎正他鼠们识别片特殊羡攻击穗类型舍，并杀向管器理人樱员发舌出警断报，射进行扑防御33入侵镰检测慎概述入侵灵检测俩的缺面点不能样弥补绩差的伸认证苦机制如果幕没有裤人的农干预断，不饲能管钉理攻赴击调柜查不能怖知道资安全烟策略执的内炎容不能佣弥补买网络延协议耻上的悲弱点不能历弥补起系统繁提供觉质量泛或完挣整性哨的问怨题不能胃分析腰一个灵堵塞算的网侦络不能枪处理饭有关pa豪ck戒et孤-l棉ev亿el的攻砍击34入侵江检测双概述二、作入侵欧检测倘系统返的分铺类按数招据检赔测方残法分拍类按系领统结就构分越类按时旬效性快分类按照滨数据枝来源工分类35入侵态检测垄概述入侵陷检测身的分钩类（够一）异常识检测肃模型喊（An督om那al挨y帐De僚te怀ct禾io用n绕):首先闹总结伟正常扒操作事应该古具有聋的特健征（辽用户座轮廓户），刮当用橡户活阿动与起正常挎行为另有重戏大偏荒离时茶即被领认为吸是入烘侵误用绕检测辣模型惊（Mi赛su档se乖D讽et饲ec厕ti扭on财)：收集敬非正稍常操绣作的距行为劝特征漆，建疤立相健关的格特征粪库，表当监尚测的求用户歪或系协统行厌为与煮库中展的记揭录相连匹配皮时，万系统革就认矮为这冬种行殊为是决入侵按照希分析慈方法袋（检勇测方月法）36入侵鸟检测差概述入侵糕检测例的分彼类（竭二）集中陆式：次系统头的各找个模梨块包梨括数絮据的岭收集姐分析敌集中智在一驼台主密机上麦运行分布哄式：坐系统烫的各剃个模捆块分桂布在副不同裕的计猎算机再和设匀备上按系浆统结炎构分源类37入侵骄检测耐概述离线仙入侵肺检测宾系统粱（of定f-笋li漆ne代I择DS）在线辟入侵芳检测贤系统凝（On装-l禾in验e杆ID扔S）入侵意检测堪的分蜜类（味三）根据耕时效重性分唉类38入侵友检测胜概述入侵洽检测善系统茎分类(四)基于警主机穗的入工侵检盲测系辉统（HI充DS）基于斤网络江的入夫侵检仅测系忍统（NI系DS）混合甚型入侧侵检属测系丸统（Hy醋br荒id态I搞DS）网络搅节点少入侵闯检测轻系统落（NN甩ID拴S）按数露据来预源分纺类39入侵暗检测变概述主机ID棚S定义运行海于被两检测亲的主赴机之已上，虎通过咐查询努、监粘听当承前系犹统的斩各种配资源叶的使欺用运余行状胳态，竭发现被系统正资源怜被非袋法使播用和盘修改棵的事干件，购进行导上报征和处拖理特点安装洋于被浙保护咳的主昏机中系统炮日志系统起调用文件蛛完整策性检叶查主要朋分析闪主机脂内部吐活动占用暂一定警的系绘统资娘源40入侵费检测颜概述主机ID忙S实现收集 过程ID:2092用户名:Administrator

登录ID: (0x0,0x141FA)分析蛮处理

文进日注册…….

件程志表……..结果41入侵谱检测由概述主机ID迹S优势精确激地判秀断攻雁击行字为是拥否成熊功。监控报主机搬上特佛定用妻户活蚊动、急系统范运行苹情况HI报DS能够娘检测层到NI鉴DS无法冠检测仰的攻乏击HI名DS适用寒加密鞠的和康交换劣的环译境。不需梯要额世外的婶硬件怎设备矿。42入侵男检测席概述主机ID宏S的劣乏势HI薄DS对被仇保护勉主机姿的影妻响。HI卖DS的安尿全性沿受到重宿主立操作否系统趁的限盘制。HI论DS的数见据源手受到亚审计剩系统分限制雨。被木练马化穗的系蜘统内甲核能之够骗园过HI涂DS。维护/升级名不方纱便。43入侵峡检测辨概述网络ID凭S定义通过摧在共创享网聪段上跪对通蚊信数貌据的陆侦听散采集间数据兽，分锈析可浪疑现促象。蜓这类锻系统屑不需拒要主光机提勾供严六格的采审计洗，对竟主机粗资源于消耗躬少，男并可葛以提今供对邀网络股通用惕的保卖护而灰无需修顾及约异构透主机副的不着同架魔构。特点安装递在被俘保护并的网健段（鞭通常蹦是共旱享网描络）傻中混杂递模式菊监听分析胞网段闪中所形有的晕数据晃包实时链检测币和响翅应44入侵拾检测扭概述网络ID匆S实现01巩0苏1010101010101收集01010101010101010101010101听01朝01号01城01维01逆0分析卸处理结果45入侵光检测颈概述网络ID熊S优势实时区分析石网络细数据处，检宴测网励络系傅统的应非法怎行为损；网络ID巡寿S系统扭单独烂架设喷，不额占用安其它畅计算好机系隶统的篮任何洁资源连；网络ID顾S系统校是一冲个独咏立的签网络姓设备迟，可弹以做摇到对盈黑客哑透明送，因证此其处本身伟的安症全性妙高；它既宗可以餐用于俯实时厦监测键系统线，也挂是记影录审裕计系贱统，启可以尘做到练实时显保护格，事巨后分录析取等证；通过污与防谦火墙星的联级动，醋不但锯可以爷对攻输击预防警，楚还可船以更银有效怎地阻辱止非赖法入疗侵和左破坏忌。不会环增加贝网络给中主拉机的非负担46入侵务检测倾概述网络ID徒S的劣避势不适郑合交雕换环滩境和吨高速痕环境不能基处理河加密收数据资源矛及处饭理能晒力局往限系统立相关吨的脆报弱性47入侵振检测纠概述混合ID并S基于苗网络敌的入捐侵检念测产即品和亿基于劈燕主机草的入洁侵检盛测产倘品都脖有不轧足之近处，丑单纯败使用敲一类驰产品壮会造矩成主竖动防克御体志系不挪全面李。但尸是，敢它们仪的缺掏憾是赏互补偿的。沿如果槐这两励类产萝品能渣够无画缝结敢合起圾来部雅署在海网络涂内，页则会馆构架耗成一雁套完殖整立垦体的遵主动禁防御暖体系菠，综闭合了顺基于观网络兰和基鱼于主芒机两则种结灶构特岗点的罪入侵斑检测盗系统燃，既扰可发想现网滋络中捆的攻把击信艺息，冲也可史从系贪统日湾志中筒发现句异常怎情况键。48入侵慨检测剥概述三、踩入侵他检测月系统昨关键讯技术数据破检测馅技术数据载分析潮技术数据家采集定技术49入侵减检测踪蝶概述数据如采集海技术高速碌网络果线速回采集De袋di弊ca降te抄d互NI拳C怨Dr醉iv植erDM框A-自ba挥se族d种ze巧ro痒c爱op宋y包俘攀获包俘锡获库Li隶bc亦apwi擦nd誉ow效sN盖T下Go酬bb饺er、Et辛hd找um冒p和Et脉hl略oa并dUN午IX下CS颈PF、BP愚F基于时流的扯包俘潜获主机父信息百采集应用拣程序哥日志审计应日志网络题端口许的连谜接状打况系统神文件50入侵妹检测遵概述基于已误用场的检辽测方羞法基于搜异常腹的检严测方犯法数据欣检测咸技术51入侵衬检测奋概述运用叼已知并攻击群方法需，根割据已田定义曲好的融入侵稀模式集，通套过判咱断这接些入效侵模脱式是拼否出卡现来收检测流。通过挣分析李入侵稀过程秘的特迟征、驳条件浊、排鲜列以菊及事咬件间墙关系兵能具向体描偷述入乖侵行思为的筹迹象专。也被地称为何违规朝检测(M圾is庭us酿e叛De传te购ct掀io群n)。检测粉准确吐度很春高。基于奴误用邀的检降测方嫂法数据慌检测席技术52入侵故检测条概述专家辫系统模型宰匹配啊检测胁系统状态预转换肃分析数据米检测依技术基于纱误用给的检瘦测方故法53入侵凡检测滤概述攻击锻信息硬使用擦的输殊入使飘用if－th阅en的语哗法。指示枝入侵扒的具蛾体条牌件放呀在规章则的永左边（if侧）里，当喉满足念这些权规则知时，形规则弹执行抽右边（th肆en侧）涝的动贡作。专家浩系统基于牢误用罪的检芹测方味法54入侵漆检测页概述模式误匹配架检测基于瓣误用盖的检大测方艰法根据立知识变建立董攻击竭脚本丧库，膀每一秘脚本黑都由贷一系袭列攻榆击行育为组句成。有关促攻击飘者行池为的浸知识锐被描昏述为徒：攻辽击者沫目的锐，攻冶击者朝达到累此目罩的的克可能驾行为体步骤阻，以茫及对窃系统旬的特柄殊使途用等受。55入侵灯检测道概述优点可检封测出沾所有家对系且统来航说是染已知触的入聚侵行彻为系统启安全胡管理楚员能知够很舞容易富地知淹道系享统遭夫受到修的是脱那种脸入侵肥攻击鱼并采阳取相饼应的短行动局限牧：它只面是根碧据已宗知的萝入侵惕序列辱和系摆统缺壤陷的后模式翁来检菌测系震统中叛的可咱疑行雁为，康而不召能处炸理对蚀新的悠入侵株攻击昆行为胶以及恳未知纹的、仪潜在唉的系英统缺帐陷的洽检测讲。系统炒运行蠢的环春境与桑知识呼库中唱关于盆攻击壤的知沫识有仪关。对于什系统以内部扰攻击琴者的左越权衣行为娘，由船于他牢们没陪有利育用系煮统的婆缺陷默，因起而很逢难检丑测出财来。基于脊误用姨的检昆测方灵法56入侵松检测弊概述基于肯误用平的检呼测方脊法基于宁异常府的检终测方描法数据迹检测津技术57入侵签检测迎概述基本尾原理前提根：入溉侵是傻异常衬活动亮的子帖集用户喷轮廓(P眨ro敏fi横le关):通常虑定义众为各针种行仪为参劳数及掘其阀途值的次集合豆，用剃于描申述正斜常行涝为范吓围过程监控量化比较判定修正指标:漏报私率低,误报技率高基于鞭异常雅的检头测方陈法数据傲检测协技术58入侵闷检测遍概述基于丘异常洞的检残测方摘法具体谊实现基于理统计伙学方族法的卵异常新检测基于歪神经临网络理的异森常检兵测基于闯数据块挖掘史的异夏常检抵测59入侵刘检测庙概述记录抛的具睡体操亩作包与括：CP佛U的使露用，I/站O的使讯用，螺使用厦地点颜及时宴间，逮邮件超使用球，编梢辑器怒使用导，编宏译器坊使用称，所意创建盟、删平除、汉访问确或改星变的续目录智及文叙件，席网络紫上活低动等数。基于义异常糠的检区测方壶法基于毅统计敏学方粒法操作关密度审计搞记录烂分布范畴顿尺度数值浸尺度60入侵霜检测六概述基于许异常援的检洒测方吓法基于并神经览网络61入侵狼检测届概述数据诊挖掘巴是指彻从大晃量实勤体数劝据抽茫象出通模型师的处域理；目的睡是要矩从海铸量数寸据中裳提取令对用物户有枪用的酿数据虚；这些淋模型凤经常来在数稍据中撞发现邻对其论它检完测方熊式不警是很拘明显争的异显常。主要涛方法慢：聚类欺分析吩、连域接分干析和停顺序许分析风。基于萍异常匪的检娇测方郊法基于帆数据冤挖掘窃技术窄的异鼓常检赶测62入侵桌检测唐概述基于柜异常薪的检缓测方洗法优点不需珍要操蹄作系艇统及宾其安亦全性磁缺陷犯专门丈知识能有眨效检默测出野冒充劳合法粱用户龄的入腿侵缺点为用悬户建锁立正眯常行骡为模忽式的揉特征大轮廓馆和对然用户遍活动猴的异引常性泽报警后的门罗限值勾的确嫌定都喊比较忧困难不是父所有肃入侵牢者的钢行为引都能践够产奖生明叔显的欲异常穿性有经谊验的度入侵汗者还闻可以轧通过嘴缓慢聋地改还变他及的行述为，感来改衡变入朝侵检气测系旗统中扰的用鞠户正浊常行旱为模洞式，员使其糖入侵尿行为载逐步匠变为苦合法旁。63入侵容检测字概述数据钓分析锁技术协议所解析AC寒BM字符滩串匹聚配正则或表达兵式事件兼规则醒树有限称状态研自动边机完整牙性分斤析64入侵谅检测瓶概述数据圆分析部技术协议鱼分析歇与解傅码ET杀HE乔RAR洞PIPRA壁RPIC钞MPIG水MPTC渐PUD该PPO凤P3FT慌PHT寸TP。。童。DN拘S65入侵营检测张概述匹配蓝规则仿子集ET测HE次RAR筋PIPRA捉RPIC滚MPIG赤MPTC费PUD便PPO某P3FT午PHT皮TP。。贯。DN育SETHER规则子集IP规则子集TCP规则子集HTTP规则子集匹配的规则子集HTTP报文的解析路径66入侵呜检测蜜概述协议识分析片的优弯点提高柏了性神能提高挂了准狮确性基于著状态痛的分岛析反规换避能眼力系统排资源版开销评小67入侵榜检测志概述四、入侵它检测育系统诸部署警方式Sw潜it秆chID团S霜Se里ns煤orMo野ni裕to弄re蜻d定Se五rv症er屠sCo晴ns洽ol译e通过峰端口师镜像伯实现（SP怎AN事/言P病or区t按Mo亭ni蓬to钢r）68入侵么检测某概述四、入侵就检测巧系统凡部署静方式检测曲器部阴署位倦置放在璃边界士防火损墙之督内放在于边界特防火快墙之台外放在储主要侨的网谊络中专枢放在肥一些京安全阅级别惰需求波高的腊子网69入侵战检测翁概述In蚁te序rn田et检测凝器部仇署示汁意图部署潮一部署鞠二部署温三部署翁四70入侵誉检测充概述IP坝S的部设署与初安全沉策略绞应用研发财经市场DM差Z区SM题TPPO培P3WE祸BER胳POACR缓M数据贴中心IP彩S旁路法部署痒在DM轻Z区，盒交换哨机将厘进出DM添Z区的起流量附镜像凯到IP使S，可浊以检测牲来自In宗te鸣rn向et的针侵对DM诱Z区服刃务器弟的应桑用层堵攻击检测物来自In溉te配rn顶et的DD幸oS攻击IP垦S部署粮在数慨据中阁心：抵御植来自堤内网哗攻击含，保吵护核海心服芝务器数和核涝心数买据提供常虚拟订软件泰补丁辉服务乌，保钩证服龙务器盲最大容正常想运行驱时间基于汁服务貌的带宁宽管播理IP别S部署渐在内姐部局制域网秋段之樱间，黑可以抑制嚼内网床恶意蓄流量然，如旁间谍胡软件咸、蠕则虫病纲毒等默等的渴泛滥羊和传服播抵御回内网叙攻击分支漫机构分支犬机构分支撑机构IP格S部署费在广浩域网郊边界联：抵御构来自刃分支秆机构美攻击保护愈广域蜓网线多路带肌宽IP性S部署税在外告网In息te寺rn耐et边界妖，放桑在防酬火墙啦前面园，可馒以保护涨防火馒墙等够网络水基础鼓设施对In慰te货rn卧et出口渐带宽成进行剥精细周控制窜，防队止带抽宽滥震用UR悼L过滤玩，过垂滤敏狐感网吼页71入侵架检测你概述五、通入侵清检测炎的响落应与槐恢复Internet入侵充检测渴的归踩宿应宏是诱有效籍反击72入侵滴检测草概述五、袜入侵漠检测场的响求应与班恢复实时更响应当事机件出腐现时蛙显示所攻击吸的特央征信城息重新烟配置倦防火跌墙阻塞牛特定半的TC冶P连接邮件则，传董真，雀电话钉提示以管理枣员启动犬其它扩程序蓄来阻桨止攻窜击SN姜MP陷阱生成润报告73入侵愉检测蝴概述五、贵入侵纯检测沸的响篮应与趁恢复应急宗响应它案例q20杆03年1月25日中币午12点，川全国逐各IS骆P遭到拢攻击q接到IS恨P的报派告q分析匙确认糟是一肠种新良型的要蠕虫截攻击q进入息应急莲响应穷状态q国内金第一秃个抓柔到该执蠕虫泉的特攀征，姥升级页入侵城检测浪事件差库q马上天通知CN记CE舞RT，在国句际出挤入口葛进行柄封堵q通过歼信息挖产业煤部通棍知大尿家进孤行差既杀，尤并在撤入侵站检测佳产品真上监锻测其盒事件案变化气。q最后躺，韩秃国、衰美国绞遭受指很大唱损失筝，而品我国驻各大IS英P基本温运行绸正常74入侵族检测附概述五、盗入侵支检测某的响呢应与赔恢复静态鼠响应模式哭匹配统计咏分析文件己对象怪完整瓶性分随析系统铺的全叶面扫泪描证据唇搜寻75入侵鬼检测多概述五、雀入侵兵检测寺的响胜应与累恢复文件厚完整恼性检办查系氏统的孔优点从数感学上陈分析蝇，攻枯克文五件完蛮整性钓检查离系统岛，无章论是异时间达上还维是空发间上晚都是购不可桶能的部。文违件完予整性蚀检查岂系统恢是一铺个检奔测系辅统被必非法税使用业的最冬重要陈的工针具之浙一。文件伤完整槐性检声查系蛾统具独有相基当大壁的灵正活性摄，可典以配扭置成总为监浊测系歪统中讲所有颂文件详或某薯些重唯要文信件。当一掠个入泪侵者竞攻击塑系统钥时，芬他会委干两寄件事矿，首酱先，华他要飞掩盖扒他的狼踪迹柄，即杜他要悼通过裂更改落系统害中的杰可执叹行文决件、季库文占件或绳日志海文件叶来隐良藏他谈的活赶动；郊其它雅，他煤要作深一些糠改动峡保证哲下次吹能够叛继续驶入侵务。这好两种垄活动政都能借够被恳文件鼓完整利性检索查系威统检徐测出危。76入侵陈检测付概述五、纳入侵晋检测期的响贯应与例恢复文件蒸完整扔性检租查系滚统的窗弱点文件茂完整被性检瓦查系共统依共赖于怪本地犁的文评摘数肌据库母。与英日志冈文件顿一样趟，这绕些数刊据可暑能被检入侵验者修豪改。当一夕个入肯侵者峡取得若管理胃员权偷限后派，在店完成旱破坏把活动洲后，微可以端运行序文件腿完整危性检偶查系趋统更斤新数坏据库被，从浴而瞒读过系安统管需理员杨。当然补，可沿以将里文摘碍数据拌库放纪在只奏读的麦介质回上，生但这喂样的挖配置凡不够怜灵活为性。做一巧次完眼整的信文件右完整宴性检白查是坝一个桐非常滨耗时果的工都作，脱在Tr鞋ip最wi摧re中，衡在需互要时额可选反择检则查某启些系母统特滴性而桨不是尝完全夹的摘专要，滨从而碍加快构检查麻速度冤。系统卖有些税正常援的更个新操劳作可柄能会党带来至大量挎的文槽件更数新，圾从而减产生低比较卫繁杂贱的检拜查与宵分析霞工作凭，如晌，在Wi衫nd态ow胆s富NT系统晶中升芹级MS照-O爽ut游lo估ok将会区带来伞18强00漆多个清文件荒变化庄。77入侵慎检测溜概述六、社入侵破检测蒜技术弄发展功方向入侵吸或攻蜜击的复综合爪化与颂复杂居化入侵明主体鸣对象俩的间习接化入侵膀或攻滴击的椅规模马扩大入侵暂或攻桂击技魔术的木分布缩慧化攻击床对象墓的转拾移分布酷式入堵侵检损测智能俗化入夹侵检讽测全面芹的安陪全防事御方参案78入侵邪检测熊概述响应鹅协同理想肆的情迅况是樱，建后立相陕关安漫全产世品能毅够相伞互通照信并佛协同贸工作跳的安异全体根系，兴实现煌防火非墙、ID解S、病毒朽防护若系统剪和审胳计系仆统等乖的互燥通与处联动架，以粮实现封整体跑安全屈防护响应误协同：当ID世S检测渗到需泉要阻路断的溜入侵涌行为通时，玻立即困迅速裂启动超联动还机制唤，自因动通蝴知防抚火墙南或其暑他安菌全控煌制设督备对延攻击织源进眯行封药堵，乞达到决整体盯安全想控制文的效郊果。ID茶S与防济火墙北的联与动，筒可封忘堵源难自外葱部网驴络的咬攻击ID里S与网奶络管弄理系宇统的涂联动难，可谣封堵道被利举用的游网络坟设备持和主浸机ID铃S与操晃作系农统的丹联动况，可镇封堵腊有恶紧意的腾用户弄账号ID荡S与内付网监萍控管抽理系伪统的挪联动醋，可绩封堵脾内部室网络休上恶话意的暮主机79入侵望检测邮概述ID押S与Fi钻re蚁wa枪ll联动通过薪在防矩火墙习中驻驶留的截一个ID粥S帆Ag缸en确t对象督，以去接收舌来自ID箱S的控爆制消甘息，笋然后存再增灶加防孕火墙药的过允滤规侍则，室最终努实现们联动Ci战sc欢o覆CI下DF族(C森IS长L)IS望S仁Ch混ec仆kp敬oi爱nt80入侵针检测躺概述ID薯S相关啊产品锯（NI堂DS）安氏爪、启确明星议辰、择金诺僻网安臂、联轻想、著东软役、绿迈盟科依技、孙中科病网威敏、思娱科、CA……入侵渡检测裤系统渐相关升产品81入侵麻检测领概述安氏产品弦名称输：领祖信ID启S主要路产品切：26池00型Pr诉of效es戴si杂on略al系列诊、16浆00型Pr真of饱es塌si球on恋al系列凡、20万0型Pr波of考es挺si丧on辩al系列陪、10肥0型Pr耻of的es栽si淘on胀al系列公司锹网址薪：bj械.i偶s-部on让e.骗ne嫌tID街S相关涂产品集（NI电DS）82入侵纲检测絮概述安氏优点军：基位于状余态保师持的辆应用拆协议龙分析采技术捏；支斯持取毯证和乘分析均功能缺点枝：支粮持的淡攻击叛特征棉数少搂（12罚00）；伍病毒魂蠕虫芽检测葬能力救弱；蹦升级水更新其周期忙长（删平均茎每两跟周更图新一躁次）ID率S相关顷产品岛（NI昂DS）83入侵窗检测榜概述启明尖星辰产品姨名称予：天喉阗主要灿产品莲：天洽阗S1孩10姓0、天闷阗S5饶00、天织阗S1汪20、天胸阗S2缎20、天净阗S3咏20、天终阗S4丹20、天条阗S5我20、天柿阗NS险50集0、天利阗NS悲2藏80耳0公司寒网址垫：ww举w.资ve颜nu疤st未ec围h.旁co闯m.竞cnID关S相关铜产品颈（NI烫DS）84入侵锁检测肌概述启明山星辰优点永：误合报率她低；号攻击无特征颂数有26取00多种僵；运收行和放天镜酷扫描美器联第动缺点腔：管映理和贸控制社端口泥采用唤私有而协议弟，存久在安庆全隐惧患；削实时链监控丝式能力腔弱，苏不能引监视关网络厚流量些，实施时会确话；狼对系侵统资究源监欲控能萍力弱埋，仅筛支持倍有限瓜层的些级联忠部署栽；对划病毒得蠕虫签检测徐能力孕弱ID暗S相关候产品荒（NI阵DS）85入侵皱检测剩概述金诺墓网安产品慕名称影：金铁诺网仰安主要痒产品雷：KI末DS省1红25图0-斤17耗00绒-T纺X、KI弹DS价-S御W1午00仍-L页1、金巡寿诺网筑安V8息.2缓B公司年网址带：ww队w.翅ki咽ng镜ne型t.昌bi储zID确S相关拿产品裙（NI零DS）86入侵熔检测躲概述金诺年网安优点协：系成统存晒储于滥光盘总，稳近定性集好；均支持驱和榕温基扫牺描器盗联动缺点这：不取提供哈报文悬回放同，误歇报率僵高；焦无病瓜毒蠕袄虫检因测能宫力，嗓不支甜持智靠能协烤议分喘析；泊异常各检测碧能力关差；晓不提序供基陈于状疲态的能检测ID穗S相关起产品苦（NI嗓DS）87入侵券检测平概述联想产品悼名称销：联碍想网贞御ID袖S主要绞产品护：网悄御ID永S喊N8雾00、网器御ID省S捏N2低00李0、网背御ID施S娇N5蹲00阅0、网们御ID辩S乡丰N2邮00公司蔽网址恐：ww端w.彻in躬fo启se繁c.轮co压m.性cnID赴S相关锈产品顾（NI逆DS）88入侵植检测忘概述联想优点牙：基鞋于硬妹件的弹管理脉员身忙份认亩证；殊支持ID饮S和IP盾S双模痛式检共测缺点周：支收持的祸攻击迟特数维少（15阴00）；N2劲00和N2污00呢0管理个方法砌和特瞧征库顿不兼筐容；刮支持锻定制真报表证数量虚少ID沉S相关堤产品役（NI供DS）89入侵码检测恼概述东软优点谜：系振统集经成扫店描器哪；监傍控的TC绞P连接盒数多缺点英：阻积断连争接方跪面功王能欠泽缺；呼攻击途特征惊数少优（15趟00）；穷不支墓持千霞兆高伟端，占不支掏持病低毒蠕焦虫检厕测ID梯S相关役产品鸦（NI足DS）90入侵带检测训概述绿盟萍科技产品激名称陆：冰格之眼主要芳产品拒：20毙0系列蒙、60光0系列板、12授00系列词等公司为网址平：ww伶w.础ns叮fo吸cu赛s.舅co浸mID鹿S相关者产品悬（NI枕DS）91入侵慈检测姿概述绿盟磁科技优点援：支山持较这多的远应用宫层协影议；割升级缸更新浓速度谅快（孙重大醋安全致问题3日内绵）；决多点朴备份壮，多扑监听台接口缺点躺：产谊品功迎能简撒单；送不支纠持病肝毒蠕栽虫检奏测ID绳S相关宣产品霸（NI厕DS）92入侵迟检测本概述中科睡网威产品欠名称惹：天贴眼ID挡S主要借产品锹：NP冠ID窃S-暑N-闻HP全-S猎B、NP苦ID巨S-挑N-份HP骄-G量B公司漂网址主：ww形w.塑ne耗tp芹ow抄er斑.c且om万.c创nID找S相关掀产品愉（NI扮