网络安全技术新

网络安全技术新1第1页，课件共75页，创作于2023年2月第8章网络安全技术8.1几种常用的网络安全技术8.2加密技术8.3数字签名与身份认证技术8.4入侵检测技术2第2页，课件共75页，创作于2023年2月本章学习要求：了解：几种常用的网络安全技术。掌握：加密技术。掌握：数字签名与身份认证技术。掌握：入侵检测技术。3第3页，课件共75页，创作于2023年2月8.1几种常用的网络安全技术网络安全问题⑴人为的失误操作员安全配置不当、用户安全意识不强、用户口令选择不慎等。⑵信息截取通过信道进行信息的截取、通过信息的流量分析等。⑶内部窃密和破坏内部或本系统的人员通过网络窃取机密、泄漏或更改信息以及破坏信息系统。4第4页，课件共75页，创作于2023年2月⑷黑客攻击黑客已经成为网络安全的克星。⑸技术缺陷硬件和软件设计过程中留下的技术缺陷，如Windows等。⑹病毒1.CIH(1998年)、2.梅利莎（Melissa,1999年）、3.Iloveyou(2000年)、4.红色代码(CodeRed，2001年)、5.SQLSlammer(2003年)、6.冲击波（Blaster，2003年)、7.大无极.F（Sobig.F，2003年)、8.贝革热（Bagle，2004年)、9.MyDoom(2004年)、10.Sasser(2004年)5第5页，课件共75页，创作于2023年2月8.1几种常用的网络安全技术1加密技术2数字签名与身份认证3入侵检测4病毒防范5防火墙6存取控制7安全协议…….6第6页，课件共75页，创作于2023年2月8.2加密技术

8.2.1密码学基本概念密码学基本概念明文(Plaintext)加密前的数据称为明文。密文(Ciphertext)经加密算法作用后转换成密文。加密密钥(EncodeKey)加密算法中使用的参数为加密密钥解密密钥(DecodeKey)密文经解密算法作用后形成明文输出，解密算法也有一个密钥，它和加密密钥可以相同也可以不同。7第7页，课件共75页，创作于2023年2月8.2.1密码学基本概念密码设计和密码破译统称为密码学。下图为一个通用的加密模型：加密和解密有如下关系：P=Dk(Ek(P))8第8页，课件共75页，创作于2023年2月8.2.2对称密钥算法对称密码体制是一种传统密码体制，也称为私钥密码体制。在对称加密系统中，加密和解密采用相同的密钥。1.凯撒密码(CaesarCipher)也称凯撒移位，是最简单的加密方法之一，相传是古罗马恺撒大帝用来保护重要军情的加密系统，它是一种替代密码。加密：将明文报文中的每个字母用字母表中该字母后的第R个字母来替换。解密：将密文中的每个字母用该字母前的第R个字母替换回来。9第9页，课件共75页，创作于2023年2月加密公式：密文

=

(明文

+

位移数)

Mod

26

解密公式：明文

=

(密文

-

位移数)

Mod

26

以《数字城堡》中的一组密码为例：密文：phhw

ph

diwhu

wkh

wrjd

sduwb明文：meet

me

after

the

toga

party位移数=？10第10页，课件共75页，创作于2023年2月2.DES、3DES和AES算法1)DES(DataEncryptionStandard)算法美国政府制定的常规密钥体制的密码算法该算法输入64bit的明文，产生64bit的密文；反之输入64bit的密文，输出64bit的明文。在64bit的密钥中含有8个bit的奇偶校验位，所以实际有效密钥长度为56bit。1997年，RSA数据安全公司发起了一项“DES挑战赛”的活动，参加者分别用4个月、41天、56h和22h破解了其用56bitDES算法加密的密文。11第11页，课件共75页，创作于2023年2月2)3DES是在DES算法基础上扩展密钥长度的一种改进，可使加密密钥长度扩展到128bit（112bit有效）或192bit（168bit有效）。其基本原理是将128bit的密钥分为64bit的两组，对明文进行多次普通的DES加解密操作，从而增强加密强度。12第12页，课件共75页，创作于2023年2月3)AES(AdvancedEncryptionStandard)是2001年NIST宣布的DES后继算法。AES处理以128bit数据块为单位的对称密钥加密算法，可以用长为128位,192位和256位的密钥加密。NIST估计如果用能在1s内破解56bitDES算法的计算机来破解128位的AES密钥，要用大约149亿万年时间。13第13页，课件共75页，创作于2023年2月对称密钥算法优缺点缺点：由于加解密双方使用相同的密钥，因此密钥的分发便成了该加密体系中最薄弱而且风险最大的环节。优点：对称加密算法效率高，速度快。14第14页，课件共75页，创作于2023年2月8.2.3非对称密钥算法非对称加密算法有效地解决了对称加密算法密钥的分发管理问题。非对称密钥体系中用到一对公钥(PublicKey)和私钥(PrivateKey)公钥加密的密文只能用私钥解密，反之，用私钥加密的密文只能用公钥解密。公钥向外界公开而私钥则只有私人拥有。如果A要发信息给B，则A只需要知道B的公钥，用B的公钥对信息加密，加密后的信息只有B用自己的私钥解密。反之，B也可以用A的公钥对信息加密然后给A。15第15页，课件共75页，创作于2023年2月典型的非对称密钥算法RSARSA密钥对：公钥(PublicKey)和私钥(PrivateKey)算法：选择两个大的质数p,q；计算n=pq,z=(p-1)(q-1)；选择e满足0<e<n,并且与z互为质数；选择d满足edmodz=1；得到公钥为(n,e)，密钥(n,d)。16第16页，课件共75页，创作于2023年2月RSA加密和解密算法加密算法：y=xemodn解密算法：x=ydmodnx=(xemodn)dmodnAdiShamir,RonaldRivest,andLeonardAdleman.17第17页，课件共75页，创作于2023年2月RSA例子1求得公钥和密钥：取p=5，q=13；得到n=65，z=48；选取e=7，满足与48没有公因子；解方程7dmod(48)

=1，得到d=7；得到公钥(65,7)，私钥(65,7)。加解密，令x=6加密：y=67mod65=42解密：x=427mod65=618第18页，课件共75页，创作于2023年2月RSA例子2求得公钥和密钥：取p=5，q=7；得到n=35，z=24；选取e=5，满足与24没有公因子；解方程5dmod(24)

=1，得到d=5；得到公钥(35,5)，私钥(35,5)。加解密，令x=6加密：y=65mod35=6解密：x=65mod35=619第19页，课件共75页，创作于2023年2月RSA例子3求得公钥和密钥：取p=5，q=7；得到n=35，z=24；选取e=5，满足与24没有公因子；解方程5dmod(24)

=1，得到d=29；得到公钥(35,5)，私钥(35,29)。加解密，令x=12加密：y=125mod35=17解密：x=1729mod35=1220第20页，课件共75页，创作于2023年2月RSA优缺点RSA算法是基于大整数因子分解这一著名的数学难题。

即：寻求两个大素数容易，而将他们的乘积分解开则极其困难。优点：能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心基础。

缺点：算法复杂，加密数据的速度和效率较低。在实际应用中，通常利用对称密钥算法来进行大容量数据的加密，而采用非对称密钥算法来传递对称密钥算法所使用的密钥。21第21页，课件共75页，创作于2023年2月8.3数字签名与身份认证技术

8.3.1数字签名1.数字签名的概念(ISO7498-2标准)：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。美国电子签名标准(DSS，FIPS186-2)：“利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性”。数字签名技术是实现交易安全的核心技术之一，它的实现基础就是加密技术。现在大多数数字签名都是基于PKI(PublicKeyInfrastructure)。22第22页，课件共75页，创作于2023年2月2．认证机构CA(CertificateAuthority)认证机构CA是PKI的核心执行机构，也称为认证中心，是一种权威性、可信任性和公正性的第三方机构。CA机构本身的建设应具备条件、采用的密码算法及技术保障是高度安全的，具有可信任性，是不参与交易双方利益的第三方机构，具有公正性。组成证书签发服务器负责证书的签发和管理，包括证书归档、撤消和更新等；密钥管理中心用硬件加密机产生公/私密钥对，CA私钥不出卡，提供CA证书的签发；目录服务器负责证书和证书撤消列表（CRL）的发布和查询。23第23页，课件共75页，创作于2023年2月2．认证机构CA(CertificateAuthority)RA（RegistrationAuthority）负责数字证书的申请注册、审批、校对和管理机构。证书申请注册机构RA为注册总中心，负责证书申请注册汇总。LRA为远程本地受理点，负责用户证书申请和审查，只有那些经过身份信用审查合格的用户，才可以接受证书的申请，批准向其签发证书，这是保障证书使用的安全基础。24第24页，课件共75页，创作于2023年2月3．数字证书概念数字证书简称证书，是PKI的核心元素，由认证机构服务者签发，它是数字签名的技术基础,符合X.509标准。现行的PKI机制一般为双证书机制，即一个实体应具有两个证书，两个密钥对，一个是加密证书，一个是签名证书，加密证书原则上是不能用于签名的。证书在公钥体制中是密钥管理的媒介，不同的实体可通过证书来互相传递公钥，证书由CA签发。25第25页，课件共75页，创作于2023年2月3．数字证书证书的主要内容(X.509标准)：CA(A)=CA{V,SN,AI,CA,UCA,A,UA,Ap,Ta}CA(A)---认证机构CA为用户A颁发的证书；CA﹛,,,﹜---认证机构CA对花括弧内证书内容进行的数字签名；V---证书版本号；SN---证书序列号；AI---用于对证书进行签名的算法标识；CA---签发证书的CA机构的名字；UCA---签发证书的CA的惟一标识符；A---用户A的名字；UA---用户A的惟一标识；Ap---用户A的公钥；Ta---证书的有效期；26第26页，课件共75页，创作于2023年2月27第27页，课件共75页，创作于2023年2月4.数字签名的技术实现数字签名的过程是先在网上进行身份认证，然后再进行签名，最后是对签名的验证。⑴认证1)单向认证2)双向认证⑵数字签名与验证过程28第28页，课件共75页，创作于2023年2月使用非对称加密算法的数字签名1发送方先采用单向Hash函数，将待发送的数据生成消息摘要MD_1，然后发送方使用自己的私钥对消息摘要加密生成数字签名，将数字签名附着在原文上一起发送。接收方收到消息以后，先用发送方的公钥将签名解密，得到消息摘要。然后利用接收的原数据进行单向Hash函数的计算，得到消息摘要MD_2进行验证，如果MD_1=MD_2，说明签名成功。29第29页，课件共75页，创作于2023年2月使用非对称加密算法的数字签名230第30页，课件共75页，创作于2023年2月31第31页，课件共75页，创作于2023年2月在电子政务系统中使用混合密码体制来实现数字签名技术在电子政务系统中如果在数字签名时原文在网络上以明文传输，就不能保证原始信息的机密性，而要保证原始信息的机密性，就需要对待发送的原始信息实行加密运算，若对原文使用非对称密码算法，由于使用非对称密码算法在解密时运算量很大，将会影响运算速度。所以，选择使用对称密码算法对原文进行加密。而用非对称的密码算法来实现数字签名技术，使用这种混合密码体制，既能实现数字签名，保证了在传输过程中原文机密性，又能提高运算效率。

32第32页，课件共75页，创作于2023年2月8.3.2身份认证中间人攻击问题比如B要发一个保密信息给A,所以第一步A把自己的公钥Ka发给B。在这一过程中，如果窃听者H截取到其公钥，然后伪装成A，将自己的公钥Kh发给B。B将敏感信息用Kh加密后发给A，此过程中，窃听者H截取密文后用H的私钥解密得到信息内容，然后用A的公钥Ka加密得到密文,自己伪装成B发给A，A用自己的私钥顺利地解开了密文。身份认证技术（CertificationAuthority,CA）的出现有效地解决了中间人的攻击。CA把一个特定的实体和公钥绑在一起，把信任建立在一个大家都信任的第三方，从信任第三方来达到信任对方的目的。33第33页，课件共75页，创作于2023年2月网络信息安全的五个要素身份认证(Authentication)鉴定信息的真实性，核实源实体与接受实体是否与宣称的一致。授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。保密性(Confidentiality)使信息只被授权用户享用，确保通信机密。完整性(Integrity)确保数据的完整和准确。不可否认(Nonrepudiation)验明身份后，不能够拒绝传送和接受。34第34页，课件共75页，创作于2023年2月网络的多样化推动认证技术的进步网络应用推进认证技术的多样化游戏，股票，音乐，网上银行移动应用推进移动认证技术便于携带的认证技术无处不在的网络需要无处不在的认证技术网络门禁网络停车快速收费简单口令的失败促进其他认证技术的发展35第35页，课件共75页，创作于2023年2月对认证技术的要求成本购买成本，布置成本，使用成本方便性易于使用，便于携带，适应多种系统安全与扩展相对安全性，与其他系统的互操作性，可伸缩性36第36页，课件共75页，创作于2023年2月鉴别／认证技术的基本元素你所知道的密码，口令，妈妈的生日，机密问题；你所拥有的钥匙，IC卡，令牌，身份证；你自身的手型，指纹，眼纹；你的行为声纹，说话方式，行走方式，手写签名、击键动作等。37第37页，课件共75页，创作于2023年2月身份认证有三个要素第一个要素：需要使用者记忆的身份认证内容，例如密码和身x份x证号码等等。第二个要素：使用者拥有的特殊认证加强机制，例如动态密码卡，IC卡，磁卡等。第三个要素：使用者本身拥有的唯一特征，例如指纹，瞳孔，声音等等…..38第38页，课件共75页，创作于2023年2月8.3.2身份认证1.身份认证的定义身份认证是用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和惟一。2．身份认证的分类从身份认证所用的物理介质分，主要分为口令、磁卡、条码卡、IC卡、智能令牌、指纹、密码表等。从身份认证过程中与系统的通信次数分，有一次认证、两次认证。从身份认证所应用的系统来分，有单机系统身份认证和网络系统身份认证。从身份认证的基本原理上来说，身份认证可以分为静态身份认证和动态身份认证。39第39页，课件共75页，创作于2023年2月8.3.2身份认证3．静态身份认证静态身份认证是指用户登录系统、验证身份过程中，送入系统的验证数据是固定不变的，符合这个特征的身份认证方法称为静态身份认证。⑴单因素静态口令身份认证⑵双因素静态身份认40第40页，课件共75页，创作于2023年2月⑴单因素静态口令身份认证静态口令是一种单因素认证方法当用户需要访问系统资源时，系统提示用户输入用户名和口令。系统采用加密方式或明文方式将用户名和口令传送到认证中心，并和认证中心保存的用户信息进行比对。如果验证通过，系统允许该用户进行随后的访问操作，否则拒绝用户的进一步的访问操作。单因素静态口令身份认证一般用于早期的计算机系统。目前，在一些比较简单的系统或安全性要求不高的系统中也有应用，例如PC的开机口令、UNIX系统中用户的登录、Windows用户的登录、电话银行查询系统的账户口令等。缺点：一个口令多次使用，容易造成泄露。41第41页，课件共75页，创作于2023年2月⑵双因素静态身份认证双因素认证方式是在单一的记忆因素(固定口令)认证基础上结合第二物理认证因素，以使认证的确定性按指数递增。目前很多银行计算机业务处理系统中，柜员的身份认证大多采用双因素静态身份认证。42第42页，课件共75页，创作于2023年2月一些双因素身份认证技术生物认证技术，包括指纹、虹膜、面容识别等无法集成现有应用需要特殊的外围认证设备应用不成熟、使用维护成本高数字证书认证技术无法集成现有应用，需要很多开发工作客户端需要安装驱动程序，管理、部署和维护复杂在许多特殊场景下无法使用，如对登录AIX操作系统的保护就无能为力RSA双因素身份认证技术直接集成各种应用提供全面资源保护，如网络访问与维护、主机登录、Oracle数据库、WebServer等技术成熟、可靠，方便部署、分发和使用43第43页，课件共75页，创作于2023年2月双因素的概念=你所知道的+你所拥有的把你所拥有的ATM卡...和你知道的...ATM卡的口令+PIN=双因素认证!44第44页，课件共75页，创作于2023年2月8.3.2身份认证4．动态身份认证动态身份认证是指用户登录系统、验证身份过程中，送入系统的验证数据是动态变化的，符合这个特征的身份认证方法称为动态身份认证。⑴时间同步机制身份认证⑵挑战/应答机制的身份认证45第45页，课件共75页，创作于2023年2月⑴时间同步机制身份认证在这种认证机制中，每个系统用户都持有相应的时间同步令牌，令牌内置时钟、种子密钥和加密算法。时间同步令牌可以每分钟动态生成一个一次性有效的口令。用户需要访问系统时，需要将令牌生成的动态口令和静态口令结合在一起作为口令上送到中心认证系统。认证中心不仅要核对用户的静态口令，同时中心认证系统需要根据当前时间和该用户的种子密钥计算出该用户当前的动态口令，并进行核对。缺点：这种认证机制从技术上很难保证用户的时间同步令牌在时间上和中心认证系统严格同步；而且数据在网络上传输和处理都有一定的延迟。当时间误差超过允许值时，往往造成正常用户的登录认证失败。46第46页，课件共75页，创作于2023年2月RSA双因素身份认证原理种子时间+tokencode=种子时间+tokencode=公司资源BadTokencode:AccessDeniedGoodTokencode:AccessGranted认证代理软件AM/Agent认证管理服务器AM47第47页，课件共75页，创作于2023年2月RSASecurIDAuthenticationSolutionUserentersPasscode

(PIN+tokencode)User

Authenticated!AuthenticationManagerAuthenticationAgentCalculatespasscode48第48页，课件共75页，创作于2023年2月RSA双因素身份认证原理

时间同步双因素身份认证RSA

AuthenticationManager种子时间算法种子时间159759算法相同的种子相同的时间49第49页，课件共75页，创作于2023年2月RSASecurID双因素口令的构成双因素口令=+PIN令牌码LOGIN: 张三PASSCODE:Zs3a159759唯一的128位种子已初始化为全球同步时间令牌码:通常为每60秒钟变化一次内部电池完整的双因素口令是PIN码（客户首次使用令牌的时候设定）和令牌码组合到一起构成的50第50页，课件共75页，创作于2023年2月种类丰富的认证令牌软件令牌智能卡令牌USB令牌硬件令牌

51第51页，课件共75页，创作于2023年2月RSA强认证系统可以保护的资源RSA

AuthenticationManager(Replica)Win/UnixIntranetVPN网关RSA

AuthenticationManager(Primary)邮件系统文件服务器

应用服务器远程移动办公用户RSAACE/Agent52第52页，课件共75页，创作于2023年2月RSA强认证系统可以保护的资源企业内部网AAA服务器

（支持802.1x）CiscoACSFunkRadiusServerMicrosoftIAS······企业有线网络WLAN认证用户AccessPointWindows&WLAN客户端RSA身份认证服务器53第53页，课件共75页，创作于2023年2月⑵挑战/应答机制的身份认证在这种认证机制中，每个系统用户都持有相应挑战应答令牌，令牌内置种子密钥和加密算法。用户需要访问系统时，认证系统首先提示输入用户名和静态口令。认证通过后系统在下传一个中心系统随机生成的挑战数，通常为一个数字串，用户将该挑战数输入到挑战应答令牌中，挑战应答令牌利用内置的种子密钥和加密算法计算出相应的应答数，通常也是一个数字串。用户将该数字串作为应答数上传给认证中心。认证中心根据该用户在认证中心保存的种子密钥和同样的加密算法计算出同样的应答数并和用户上传的应答数进行比较，如果两者相同，允许该用户访问系统，否则拒绝用户的登录请求。由于每个用户的种子密钥不同，因此不同用户对同样的挑战数可以计算出不同的应答数，只有用户持有指定的挑战应答令牌才能计算出正确的应答数。从而可以保证用户是持有指定挑战应答令牌的合法用户。54第54页，课件共75页，创作于2023年2月8.4入侵检测技术网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫黑客55第55页，课件共75页，创作于2023年2月8.4入侵检测技术入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、机密性、可用性、可控性什么是入侵检测系统？入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。为何需要入侵检测系统？入侵很容易防火墙不能保证绝对的安全56第56页，课件共75页，创作于2023年2月入侵检测的任务1检测来自内部的攻击事件和越权访问85％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统可以有效的防范防火墙开放的服务入侵通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员。检测其它安全工具没有发现的网络工具事件。57第57页，课件共75页，创作于2023年2月入侵检测的任务2提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。网络中可被入侵者利用的资源在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。用户和管理员在配置和使用系统中的失误。对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用。58第58页，课件共75页，创作于2023年2月入侵检测的发展历史11980年，JamesAnderson最早提出入侵检测概念。1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究。1988年，创建了基于主机的系统,有IDES，Haystack等。1989年，提出基于网络的IDS系统,有NSM，NADIR，DIDS等。59第59页，课件共75页，创作于2023年2月入侵检测的发展历史290年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统。2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮。2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。60第60页，课件共75页，创作于2023年2月入侵检测系统部署方式1通过端口镜像实现（SPAN/PortMonitor）SwitchIDSSensorMonitoredServersConsole61第61页，课件共75页，创作于2023年2月入侵检测系统部署方式2检测器部署位置部署一：放在边界防火墙之外部署二：放在边界防火墙之内部署三：放在主要的网络中枢部署四：放在一些安全级别需求高的子网62第62页，课件共75页，创作于2023年2月Internet部署一部署二部署三部署四63第63页，课件共75页，创作于2023年2月网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。64第64页，课件共75页，创作于2023年2月入侵检测技术分类1从检测数据来源看基于网络的入侵检测技术这种入侵检测技术通过分析网络上的数据包序列，包括分析数据包的类型、大小、包中各个属性的值以及一段时间里收到的数据包的组合，以确定是否有不正常行为发生。基于主机审计数据的入侵检测技术主要分析主机的系统日志以及各种实时运行参数记录，包括主机应用程序运行状态及历史记录、系统调用序列、系统事件历史记录、系统各种参数的运行状态值以及系统硬件资源使用率，以确定是否有导致系统状态不正常的入侵行为发生。65第65页，课件共75页，创作于2023年2月入侵检测技术分类2从入侵检测的方式来分基于误用的检测技术使用一组预先定义的规则，对所检测的数据匹配这些规则以确定是否有入侵行为发生。基于异常的入侵检测技术通过机器学习、统计学习算法，利用系统在正常状态下的审计数据，通过一定的训练算法得出系统正常状态行为的数学模型，通过分析当前的系统状态与正常状态下的模型，比较两者之间的偏离程序度来确定是否有入侵行为发生。一般认为，基于异常的入侵检测算法能够适应网络的动态变化，并可检测出未知的攻击手段，在各种应用场合都表现出较高的可推广性。66第66页，课件共75页，创作于2023年2月8.4.1基于误用的入侵检测技术工作原理：基于误用的入侵检测技术从入侵行为本身的特征入手，定义一组系统入侵发生时的特征，检测程序实时检测系统中是否有存在特征或特征的组合，以确定是否有入侵行为的发生。主要问题：基于误用的入侵检测的主要问题是如何确定所定义的攻击特征模式可以覆