入侵檢測(cè)技術(shù)現(xiàn)狀分析與研究_學(xué)年論文

1、<p><b>　　學(xué)　年　論　文</b></p><p>　　題 目：入侵檢測(cè)技術(shù)現(xiàn)狀分析與研究</p><p>　　學(xué) 院 專 業(yè) 級(jí) 班</p><p>　　學(xué)生姓名 學(xué) 號(hào) </p><p>　　

2、指導(dǎo)教師 職 稱 </p><p>　　完成日期 </p><p>　　入侵檢測(cè)技術(shù)現(xiàn)狀分析與研究</p><p>　　【摘　要】隨著網(wǎng)絡(luò)的快速發(fā)展及普及,網(wǎng)絡(luò)安全已經(jīng)成為不可忽視的信息安全.小至個(gè)人用戶的信息,大

3、至公司企業(yè)重要的資料數(shù)據(jù),一但在不知不覺中被盜竊,會(huì)給自己乃至公司帶來利益的損失.入侵檢測(cè)技在1980年由JamesP.Anderson在給一個(gè)保密客戶寫的一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告中指出,審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用,他給威脅進(jìn)行了分類,第一次詳細(xì)闡述了入侵檢測(cè)的概念</p><p>　　【關(guān)鍵詞】IDS、協(xié)議、分析、網(wǎng)絡(luò)安全</p><p><b>　　

4、目錄</b></p><p><b>　　第一章緒 論1</b></p><p>　　1.1入侵檢測(cè)技術(shù)的背景1</p><p>　　1.2入侵檢測(cè)技術(shù)的應(yīng)用與發(fā)展現(xiàn)狀1</p><p>　　第二章入侵檢測(cè)技術(shù)1</p><p>　　2.1入侵檢測(cè)系統(tǒng)的分類1<

5、;/p><p>　　2.1.1基于主機(jī)的入侵檢測(cè)系統(tǒng)2</p><p>　　2.1.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)2</p><p>　　2.2入侵檢測(cè)技術(shù)3</p><p>　　2.2.1異常入侵檢測(cè)技術(shù)3</p><p>　　2.2.2誤用入侵檢測(cè)技術(shù)3</p><p>　　第三章校園網(wǎng)

6、中的分布式入侵檢測(cè)分析4</p><p>　　3.1 分布式入侵檢測(cè)的設(shè)計(jì)思想4</p><p>　　3.2 校園分布式入侵檢測(cè)模式的分析4</p><p>　　3.3 采用的入侵檢測(cè)技術(shù)5</p><p>　　第四章入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)7</p><p><b>　　第五章總結(jié)

7、8</b></p><p><b>　　緒 論</b></p><p><b>　　入侵檢測(cè)技術(shù)的背景</b></p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,人們已經(jīng)離不開了網(wǎng)絡(luò)的通信.網(wǎng)絡(luò)滲透到了人們生活的點(diǎn)點(diǎn)滴滴,地球村的建設(shè),讓人們走進(jìn)了高速發(fā)展的時(shí)代,信息中心的高速傳輸,網(wǎng)絡(luò)資源的高度共享,都離不開

8、網(wǎng)絡(luò).網(wǎng)絡(luò)使得信息的獲取、傳遞、處理和利用變得更加有效,網(wǎng)絡(luò)帶給人們學(xué)習(xí)、工作、娛樂的便利之余,也帶給我們一些安全隱患.網(wǎng)絡(luò)黑客可以輕松的取走你的重要的文件,盜取你的銀行存款,破壞你的企業(yè)平臺(tái),公布你的隱私信函,篡改、干擾和毀壞你的數(shù)據(jù)庫,甚至直接破壞用戶的計(jì)算機(jī),使你的網(wǎng)絡(luò)癱瘓或者崩潰.所以,研究各種切實(shí)有效的安全技術(shù)來保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全,已經(jīng)成為一個(gè)刻不容緩的問題.伴隨著網(wǎng)絡(luò)的發(fā)展,各種網(wǎng)絡(luò)安全技術(shù)也隨之發(fā)展起來.<

9、;/p><p>　　美國韋式大辭典中對(duì)入侵檢測(cè)的定義為:“硬闖入的行為,或者是在沒受到邀請(qǐng)和歡迎的情況下進(jìn)入一個(gè)地方”.當(dāng)說到入侵檢測(cè)的時(shí)候,我們是指發(fā)現(xiàn)了網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)有未經(jīng)過授權(quán)的闖入行為,這個(gè)未經(jīng)過許可的網(wǎng)絡(luò)入侵或訪問,是一種對(duì)其他網(wǎng)絡(luò)設(shè)備的安全威脅或傷害.我們通常使用的網(wǎng)絡(luò)安全技術(shù)有:防火墻、殺毒軟件、虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字簽名和身份認(rèn)證技術(shù)等.這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作

10、用,然而它們也存在不少缺陷.例如,防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問控制,但是它不能防止來自防火墻內(nèi)部的攻擊,不能防備最新出現(xiàn)的威脅,不能防止繞過防火墻的攻擊,入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過防火墻的訪問控制來進(jìn)行非法攻擊.傳統(tǒng)的身份認(rèn)證技術(shù),很難抵抗脆弱性口令,字典攻擊,特洛伊木馬,網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊手段.虛擬專用網(wǎng)技術(shù)只能保證傳輸過程中的安全,并不能防御諸如拒絕服務(wù)攻擊,緩沖區(qū)溢出等常見的攻擊.另外,

11、這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵,而不能主動(dòng)檢測(cè)和跟蹤入侵.而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù),它主動(dòng)地收集包括系統(tǒng)</p><p>　　入侵檢測(cè)技術(shù)的應(yīng)用與發(fā)展現(xiàn)狀</p><p>　　在目前的計(jì)算機(jī)安全狀態(tài)下,基于防火墻,加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測(cè)技術(shù).它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之

12、一.Intrusion Detection System(簡(jiǎn)稱IDS)作為一種主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時(shí)保護(hù).從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā),入侵檢測(cè)理應(yīng)受到高度重視,這從國外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出.在國內(nèi),隨著上網(wǎng)關(guān)鍵部門,關(guān)鍵業(yè)務(wù)越來越多,迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品；但目前我國的入侵檢測(cè)技術(shù)還不夠成熟,處于發(fā)展和跟蹤國外技術(shù)的階段,所以對(duì)入侵檢測(cè)系統(tǒng)的研究非常重要.傳統(tǒng)

13、的入侵檢測(cè)系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配.從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始與攻擊特征字符串比較.若比較結(jié)果不同,則下移一個(gè)字節(jié)再進(jìn)行；若比較結(jié)果相同,那么就檢測(cè)到一個(gè)可能的攻擊.這種逐字節(jié)匹配方法具有兩個(gè)最根本的缺陷:計(jì)算負(fù)載大以及探測(cè)不夠靈活.面對(duì)近幾年不斷出現(xiàn)的ATM,千兆以太網(wǎng),G比特光纖網(wǎng)等高速網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問題.適應(yīng)高速網(wǎng)絡(luò)的環(huán)境,改進(jìn)檢測(cè)</p><p>

14、;<b>　　入侵檢測(cè)技術(shù)</b></p><p><b>　　入侵檢測(cè)系統(tǒng)的分類</b></p><p>　　入侵檢測(cè)系統(tǒng)按采用的技術(shù)分為:異常檢測(cè)系統(tǒng)和誤用檢測(cè)系統(tǒng).按系統(tǒng)所監(jiān)測(cè)的對(duì)象分為:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng).按系統(tǒng)的工作方式分為:離線檢測(cè)系統(tǒng)和在線檢測(cè)系統(tǒng).按系統(tǒng)對(duì)入侵的反應(yīng)分為:主動(dòng)入侵檢測(cè)系統(tǒng)和被動(dòng)入侵檢測(cè)系統(tǒng)

15、.框架圖如圖所示。</p><p>　　圖2-1 入侵檢測(cè)系統(tǒng)框架圖</p><p>　　2.1.1基于主機(jī)的入侵檢測(cè)系統(tǒng)</p><p>　　基于主機(jī)的入侵檢測(cè)系統(tǒng)監(jiān)視主機(jī)的文件系統(tǒng)或者操作系統(tǒng)及各種服務(wù)生成的日志文件,以便發(fā)現(xiàn)入侵蹤跡.它的優(yōu)點(diǎn)有:不受加密傳輸?shù)挠绊?它能夠了解被監(jiān)視主機(jī)應(yīng)用層的活動(dòng)細(xì)節(jié),有效檢測(cè)發(fā)生在應(yīng)用層的入侵活動(dòng),可以檢測(cè)多種網(wǎng)絡(luò)環(huán)境下的網(wǎng)

16、絡(luò)包,而不用像網(wǎng)絡(luò)IDS系統(tǒng)一樣需安裝多臺(tái)傳感器,這樣就使整個(gè)系統(tǒng)的成本大大降低；由于使用包含實(shí)際發(fā)生事件的日志文件,所以比基于網(wǎng)絡(luò)的系統(tǒng)就更能了解某一入侵行為是否最終成功從而減少錯(cuò)誤.它的缺點(diǎn)有:由于作為用戶進(jìn)程運(yùn)行,這種入侵檢測(cè)系統(tǒng)依賴于操作系統(tǒng)底層的支持,與系統(tǒng)的體系結(jié)構(gòu)有關(guān),所以它無法了解發(fā)生在下層協(xié)議的入侵活動(dòng)；老練的入侵者往往可以進(jìn)入系統(tǒng)修改、刪除有關(guān)的日志記錄,從而隱藏入侵跡象；由于它位于所監(jiān)視的每一個(gè)主機(jī)中,故所占用的資

17、源不能太多,從而大大限制了所采用的檢測(cè)方法及處理性能.</p><p>　　2.1.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)</p><p>　　基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)直接從網(wǎng)絡(luò)數(shù)據(jù)流中截獲原始的網(wǎng)絡(luò)包作為信息源,并從中搜索可疑行為.它的優(yōu)點(diǎn)有:由于該系統(tǒng)直接搜集網(wǎng)絡(luò)數(shù)據(jù)包,而網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的,因此,與目標(biāo)系統(tǒng)的體系結(jié)構(gòu)無關(guān),可監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng)；該系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè),因此它所收集的審計(jì)數(shù)

18、據(jù)被篡改的可能性很小,而且它不影響被保護(hù)系統(tǒng)的性能；利用工作在混合模式下的網(wǎng)卡實(shí)時(shí)監(jiān)控和分析所有通過共享式網(wǎng)絡(luò)的傳輸,能夠?qū)崟r(shí)得到目標(biāo)系統(tǒng)與外界交互的所有信息,包括一些很隱藏的端口掃描和沒有成功入侵的嘗試.它的缺點(diǎn)有:缺乏終端系統(tǒng)對(duì)待定數(shù)據(jù)報(bào)的處理方法等信息,使得從原始的數(shù)據(jù)包中重構(gòu)應(yīng)用層信息很困難,故難以檢測(cè)發(fā)生在應(yīng)用層的攻擊,而對(duì)于檢測(cè)以加密傳輸方式進(jìn)行的入侵無能為力.</p><p>　　從入侵檢測(cè)技術(shù)和入

19、侵檢測(cè)系統(tǒng)可以看出,單獨(dú)一種方法并不能檢測(cè)所有類型的入侵,異常檢測(cè)能檢測(cè)出已知和未知的攻擊,其主要問題是如何正確定義一個(gè)正常用戶行為.在動(dòng)態(tài)環(huán)境中,用建立用戶統(tǒng)計(jì)來確定正常用戶行為幾乎是不可能的事情,這時(shí)關(guān)注一個(gè)過程的行為更加有效.誤用檢測(cè)具有較高的正確性,但是不能對(duì)未知攻擊進(jìn)行檢測(cè).單個(gè)主機(jī)上安裝的IDS在大規(guī)模網(wǎng)絡(luò)中檢測(cè)入侵時(shí)可能會(huì)出現(xiàn)困難,而多個(gè)主機(jī)上安裝的IDS同樣問題.誤用檢測(cè)比異常檢測(cè)能更好地適應(yīng)擴(kuò)展或向其他計(jì)算機(jī)系統(tǒng)的移植

20、.目前這些方法除了基于模式的檢測(cè)方法和狀態(tài)轉(zhuǎn)換分析,都必須檢測(cè)大量的數(shù)據(jù)來判斷入侵的行為,這直接影響了檢測(cè)入侵的時(shí)間.異常檢測(cè)能夠適應(yīng)改變；而誤用檢測(cè)中,知識(shí)庫需要定期地進(jìn)行更新.所以要讓入侵檢測(cè)系統(tǒng)更加有效地檢測(cè)而不錯(cuò)誤報(bào)警,減少人工干預(yù),入侵檢測(cè)技術(shù)還需要進(jìn)行大量的研究和開發(fā).</p><p><b>　　入侵檢測(cè)技術(shù)</b></p><p>　　入侵檢測(cè)技術(shù)主要

21、分為兩類:異常入侵檢測(cè)和誤用入侵檢測(cè).</p><p>　　2.2.1異常入侵檢測(cè)技術(shù)</p><p>　　異常入侵檢測(cè)是指為所監(jiān)測(cè)的系統(tǒng)建立一個(gè)在正常情況下的描述文件,任何違反該描述的事件的發(fā)生都被認(rèn)為是可疑的,即觀測(cè)活動(dòng)偏離正常系統(tǒng)使用方式的程度.常用的異常檢測(cè)技術(shù)有: </p><p><b>　　1.統(tǒng)計(jì)分析</b></p>

22、<p>　　最早的異常檢測(cè)系統(tǒng)采用的是統(tǒng)計(jì)分析技術(shù).首先,檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶建立一個(gè)用戶特征表,通過比較當(dāng)前特征與已存儲(chǔ)定型的以前特征,從而判斷是否異常行為.統(tǒng)計(jì)分析的優(yōu)點(diǎn):有成熟的概率統(tǒng)計(jì)理論支持,維護(hù)方便,不需要象誤用檢測(cè)系統(tǒng)那樣不斷地對(duì)規(guī)則庫進(jìn)行更新和維護(hù)等.統(tǒng)計(jì)分析的缺點(diǎn):大多數(shù)統(tǒng)計(jì)分析系統(tǒng)是以批處理的方式對(duì)審計(jì)記錄進(jìn)行分析的,不能提供對(duì)入侵行為的實(shí)時(shí)檢測(cè),統(tǒng)計(jì)分析不能反映事件在時(shí)間順序上的前后相關(guān)

23、性,而不少入侵行為都有明顯的前后相關(guān)性,門限值的確定非常棘手等.</p><p><b>　　2.神經(jīng)網(wǎng)絡(luò)</b></p><p>　　這種方法對(duì)用戶行為具有學(xué)習(xí)和自適應(yīng)功能,能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出入侵可能性的判斷.利用神經(jīng)網(wǎng)絡(luò)所具有的識(shí)別,分類和歸納能力,可以使入侵檢測(cè)系統(tǒng)適應(yīng)用戶行為特征的可變性.從模式識(shí)別的角度來看,入侵檢測(cè)系統(tǒng)可以使用神經(jīng)

24、網(wǎng)絡(luò)來提取用戶行為的模式特征,并以此創(chuàng)建用戶的行為特征輪廓.總之,把神經(jīng)網(wǎng)絡(luò)引入入侵檢測(cè)系統(tǒng),能很好地解決用戶行為的動(dòng)態(tài)特征以及搜索數(shù)據(jù)的不完整性,不確定性所造成的難以精確檢測(cè)的問題.利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元,這樣在給定一組輸入后,就可能預(yù)測(cè)輸出.將神經(jīng)網(wǎng)絡(luò)應(yīng)用于攻擊模式的學(xué)習(xí),理論上也是可行的.但目前主要應(yīng)用于系統(tǒng)行為的學(xué)習(xí),包括用戶以及系統(tǒng)守護(hù)程序的行為.與統(tǒng)計(jì)理論相比,神經(jīng)網(wǎng)絡(luò)更好地表達(dá)

25、了變量間的非線性關(guān)系,并且能自動(dòng)學(xué)習(xí)并更新.</p><p>　　神經(jīng)網(wǎng)絡(luò)也存在一些問題:在不少情況下,系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu),不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)特定的知識(shí),這種情況目前尚不能完全確定產(chǎn)生的原因；另外,神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說明信息,這導(dǎo)致了用戶無法確認(rèn)入侵的責(zé)任人,也無法判斷究竟是系統(tǒng)哪方面存在的問題導(dǎo)致了攻擊者得以成功入侵.</p><p>　　2.

26、2.2誤用入侵檢測(cè)技術(shù)</p><p>　　誤用入侵檢測(cè)是對(duì)已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行入侵建模,從而對(duì)觀測(cè)到的用戶行為和資源使用情況進(jìn)行模式匹配而達(dá)到檢測(cè)目的.常見的誤用入侵檢測(cè)技術(shù)有以下幾種:1.模式匹配</p><p>　　模式匹配是最常用的誤用檢測(cè)技術(shù),特點(diǎn)是原理簡(jiǎn)單,擴(kuò)展性好,檢測(cè)效率高,可以實(shí)時(shí)檢測(cè)；但是只能適用于比較簡(jiǎn)單的攻擊方式.它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用

27、模式串進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為.著名的輕量級(jí)開放源代碼入侵檢測(cè)系統(tǒng)Snort就是采用這種技術(shù).2.專家系統(tǒng)</p><p>　　該技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則,然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)來自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析.該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正.專家系統(tǒng)方法存在一些實(shí)際問題:處理海量數(shù)據(jù)時(shí)存在效率問題,這是由于專家系統(tǒng)的推理和

28、決策模塊通常使用解釋型語言來實(shí)現(xiàn),所以執(zhí)行速度比編譯型語言慢；專家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能；規(guī)則庫維護(hù)非常艱巨,更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫中其他規(guī)則的影響等等.3.狀態(tài)遷移法</p><p>　　狀態(tài)遷移圖可用來描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移.狀態(tài)遷移圖用于入侵檢測(cè)時(shí),表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動(dòng).在檢測(cè)未知的脆弱性時(shí),因?yàn)闋顟B(tài)遷移法強(qiáng)調(diào)的是系統(tǒng)處于易受損

29、的狀態(tài)而不是未知入侵的審計(jì)特征,因此這種方法更具有健壯性.而它潛在的一個(gè)弱點(diǎn)是太拘泥于預(yù)先定義的狀態(tài)遷移序列.這種模型運(yùn)行在原始審計(jì)數(shù)據(jù)的抽象層次上,它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測(cè)到新的攻擊的途徑.另外,因?yàn)樯婕傲吮容^高層次的抽象,有希望把它的知識(shí)庫移植到不同的機(jī)器,網(wǎng)絡(luò)和應(yīng)用的入侵檢測(cè)上.</p><p>　　校園網(wǎng)中的分布式入侵檢測(cè)系統(tǒng)分析</p>

30、<p>　　隨著網(wǎng)絡(luò)時(shí)代的到來，校園計(jì)算機(jī)網(wǎng)絡(luò)安全不容忽視。許多高校都建立起自己的局域網(wǎng)，校園一般通過網(wǎng)關(guān)與Internet相連，網(wǎng)關(guān)成為整個(gè)局域網(wǎng)的安全集中點(diǎn)，校園里所有的機(jī)器都處在同一安全級(jí)別，當(dāng)入侵者入侵校園網(wǎng)攻擊時(shí)，只要突破了校園網(wǎng)的網(wǎng)關(guān)，攻破學(xué)校一臺(tái)機(jī)器，整個(gè)網(wǎng)絡(luò)就將面臨的癱瘓的危險(xiǎn)。為保障校園網(wǎng)絡(luò)的安全和順利進(jìn)行，通常在校園網(wǎng)中采用以Snort為核心的分布式入侵檢測(cè)系統(tǒng)。</p><p>

31、　　3.1 分布式入侵檢測(cè)的設(shè)計(jì)思想</p><p>　　隨著校園網(wǎng)中功能需求的增加，學(xué)校對(duì)外交流的提高、網(wǎng)上招生的要求、學(xué)生宿舍上網(wǎng)，越來越多的部門和教室需要接入校園網(wǎng)絡(luò)中，網(wǎng)絡(luò)中心對(duì)校園網(wǎng)不斷的改造，提高校園網(wǎng)絡(luò)的安全性。分布式入侵檢測(cè)系統(tǒng)對(duì)院校實(shí)現(xiàn)管理網(wǎng)絡(luò)化合教學(xué)手段現(xiàn)代化、提高學(xué)校的管理水平和教學(xué)質(zhì)量、實(shí)現(xiàn)網(wǎng)絡(luò)信息資源共享、豐富師生業(yè)余文化生活的同時(shí)在安全方面發(fā)揮積極作用。通過分布式入侵檢測(cè)系統(tǒng)來檢測(cè)多個(gè)

32、主機(jī)、多個(gè)網(wǎng)段上的數(shù)據(jù)和信息，對(duì)這些信息進(jìn)行關(guān)聯(lián)和綜合分析，來發(fā)現(xiàn)可能存在的分布式網(wǎng)絡(luò)攻擊行為并進(jìn)行響應(yīng)處理的入侵檢測(cè)系統(tǒng)。</p><p>　　分布式入侵檢測(cè)系統(tǒng)采取了分布式檢測(cè)的體系結(jié)構(gòu)，主機(jī)控制響應(yīng)單元，它對(duì)網(wǎng)絡(luò)探測(cè)響應(yīng)單元在分級(jí)控制臺(tái)的管理下分別檢測(cè)本機(jī)、本網(wǎng)段的入侵行為，具有良好的分布性、可擴(kuò)展性；并在網(wǎng)絡(luò)檢測(cè)響應(yīng)單元系統(tǒng)中設(shè)計(jì)了協(xié)議分析模塊，控制臺(tái)采用分級(jí)控制臺(tái)和總控制臺(tái)。分布式通過共同協(xié)作的機(jī)制，從

33、多層面上實(shí)施檢測(cè)。提高入侵檢測(cè)的效果。</p><p>　　分布式入侵檢測(cè)的設(shè)計(jì)應(yīng)滿足以下幾點(diǎn)功能：</p><p>　　①入侵檢測(cè)能夠識(shí)別可疑行為，檢測(cè)入侵。</p><p>　?、诠粜袨闄z測(cè)的準(zhǔn)確性，并進(jìn)行警報(bào)，降低檢測(cè)報(bào)警中的誤報(bào)和漏報(bào)。</p><p>　?、廴肭謾z測(cè)能針對(duì)不同的警報(bào)級(jí)別分別作出不同的響應(yīng)。</p>&

34、lt;p>　?、苋肭謾z測(cè)必須允許管理員適時(shí)監(jiān)控攻擊行為，對(duì)不同的功能和報(bào)警進(jìn)行手動(dòng)控制。</p><p>　?、萑肭謾z測(cè)能夠處理大規(guī)模的攻擊。</p><p>　?、奕肭謾z測(cè)的各組件之間能根據(jù)檢測(cè)到的入侵和報(bào)警相互通信。</p><p>　?、呷肭謾z測(cè)本身具有穩(wěn)健性，對(duì)攻擊手法的改變具有適應(yīng)性。</p><p>　?、嗳肭謾z測(cè)具有可擴(kuò)展

35、性，能滿足今后網(wǎng)絡(luò)擴(kuò)展的需要</p><p>　?、釣楸Ｕ暇W(wǎng)絡(luò)安全，入侵檢測(cè)自身應(yīng)具有高可靠性，能保障不間斷運(yùn)行。</p><p>　　3.2 校園分布式入侵檢測(cè)模式的分析</p><p>　　當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)逐步復(fù)雜化和大型化的趨勢(shì)下，分布式入侵檢測(cè)由于檢測(cè)范圍大，檢測(cè)時(shí)可以采用不同的檢測(cè)方法，通過將各個(gè)傳感器放置在不同的組件上，實(shí)現(xiàn)信息收集匯總。入侵檢測(cè)系統(tǒng)的工作&

36、lt;/p><p>　　圖3-1 入侵檢測(cè)系統(tǒng)工作流程</p><p>　　流程如圖3-1所示。</p><p>　　Snort是一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，具有靈活、可定制和可擴(kuò)展的特點(diǎn)。因此采用以Snort為核心的分布式入侵檢測(cè)系統(tǒng)。基于Snort的分布式入侵檢測(cè)系統(tǒng)按功能主要由三個(gè)部分組成：傳感器、數(shù)據(jù)管理中心、管理決策中心，是一個(gè)三層結(jié)構(gòu)。如圖3-2所示。<

37、;/p><p>　　圖3-2 分布式入侵檢測(cè)系統(tǒng)的總體結(jié)構(gòu)</p><p>　　傳感器用于收集來自網(wǎng)絡(luò)上的數(shù)據(jù)，通過均勻的分布在重要網(wǎng)段上，收集各方位傳來的數(shù)據(jù)。是分布式入侵檢測(cè)系統(tǒng)重要組成部分。然后將收集來的數(shù)據(jù)進(jìn)行簡(jiǎn)單的數(shù)據(jù)處理，并采用基于協(xié)議分析和基于模式匹配結(jié)合的方法更全面的檢測(cè)入侵行為，并將入侵?jǐn)?shù)據(jù)日志到數(shù)據(jù)管理中心數(shù)據(jù)庫中，進(jìn)行存儲(chǔ)和處理。</p><p>

38、　　數(shù)據(jù)管理中心是負(fù)責(zé)收集傳感器傳來的一系列報(bào)警數(shù)據(jù)，并對(duì)收集的報(bào)警數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)中心存儲(chǔ)過程中進(jìn)行數(shù)據(jù)整理，防止需要存儲(chǔ)的數(shù)據(jù)信息量過多，方便對(duì)數(shù)據(jù)庫報(bào)警信息的分類和管理。</p><p>　　管理決策中心是網(wǎng)絡(luò)管理員與機(jī)器交互信息中心，負(fù)責(zé)匯總信息整理成材料，以圖文形式顯示數(shù)據(jù)信息，方便管理員作出相應(yīng)的決策機(jī)制。提高網(wǎng)絡(luò)信息的安全性。</p><p>　　傳感器用于捕獲來自網(wǎng)絡(luò)上的

39、數(shù)據(jù)，是進(jìn)行入侵檢測(cè)的基礎(chǔ)，它是由Snort實(shí)現(xiàn)的。由于Snort本身沒有抓包工具，所以采用外部抓包工具Winpcap。Winpcap負(fù)責(zé)直接從網(wǎng)絡(luò)上抓包，將采集到的數(shù)據(jù)進(jìn)行簡(jiǎn)單處理傳送到數(shù)據(jù)管理中心進(jìn)行封裝。Winpcap提供了一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口、捕獲原始數(shù)據(jù)包、在數(shù)據(jù)包發(fā)往應(yīng)用程序之前按照自定義的規(guī)則將某些特別的數(shù)據(jù)包過濾掉、在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包、收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。</p><p&

40、gt;　　預(yù)處理器以插件的形式實(shí)現(xiàn)，它使得Snort入侵檢測(cè)系統(tǒng)具有模塊化的特征，使系統(tǒng)具有靈活的擴(kuò)展能力和配置能力。用戶和程序員能夠?qū)⒏鞣N不同功能的模塊化的插件方便地融入Snort之中，用來針對(duì)可疑行為檢查包或者修改包，以便檢測(cè)引擎對(duì)其進(jìn)行正確的解釋，從而提高檢測(cè)的準(zhǔn)確性和速度。預(yù)處理可以分為兩類，一類是用于針對(duì)可疑行為或者對(duì)包進(jìn)行修改，以便對(duì)數(shù)據(jù)進(jìn)行分析檢測(cè)時(shí)可以正確的識(shí)別；另一類是負(fù)責(zé)對(duì)流量標(biāo)準(zhǔn)化，以便進(jìn)行檢測(cè)時(shí)可以準(zhǔn)確的匹配特征

41、。通過它可以提高模式匹配的檢測(cè)效率。預(yù)處理器使入侵檢測(cè)系統(tǒng)可以處理跨多個(gè)包的數(shù)據(jù)，還可以規(guī)范化有多個(gè)數(shù)據(jù)表達(dá)形式的協(xié)議數(shù)據(jù)。通過預(yù)處理系統(tǒng)具有異常檢測(cè)的能力，可以發(fā)現(xiàn)還沒有對(duì)應(yīng)規(guī)則的攻擊。另外用戶還可以根據(jù)需要自己編寫新的預(yù)處理插件。</p><p>　　3.3 采用的入侵檢測(cè)技術(shù)</p><p>　　Snort入侵檢測(cè)系統(tǒng)是基于誤用檢測(cè)的入侵檢測(cè)軟件。一般采用模式匹配的方法檢測(cè)入侵行為。

42、模式匹配是將獲得的數(shù)據(jù)與系統(tǒng)內(nèi)相應(yīng)數(shù)據(jù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。具有原理簡(jiǎn)單、擴(kuò)展性好、分析速度快等優(yōu)點(diǎn)。</p><p>　　模式匹配算法有很多，BM（Boyer-Moore）算法是一種常用的精確匹配算法，其中Snort入侵檢測(cè)系統(tǒng)急速使用BM算法來進(jìn)行特征匹配。更具數(shù)據(jù)顯示：Snort在進(jìn)行檢測(cè)的時(shí)候調(diào)用字符串匹配函數(shù)所需要的時(shí)間占總時(shí)間的25.2%，所以字符串匹配算法效率隊(duì)Snort來說很重要。

43、BM算法利用跳過不必要的比較來減少字符之間的匹配，以減少匹配次數(shù)來提高檢測(cè)效率。</p><p>　　如：在主字符串（記做P）搜索的文本（記做T），將P的第一個(gè)字符記做P1，P的最后一個(gè)字符記做Pm；T的第一個(gè)字符記做T1，T的最后一個(gè)字符記做Tn；則有：</p><p>　　主字符串P：abcacdabaababbaab 模式子串T：ababbaab</p>&

44、lt;p>　　定義一個(gè)函數(shù)K：x→{1,2，…，m}；當(dāng)字符不匹配時(shí)，實(shí)現(xiàn)下標(biāo)的移動(dòng)。</p><p>　　n 若任意字符x不出現(xiàn)在T中或x=Pi;（i=m）</p><p>　　K[x]= n-I 若x在T，這里的i=max{i: Pi=x，1﹤=i﹤=m-1}</p><p>　　①匹配自右向左進(jìn)行：</p><p>　　在

45、開始前，將主字符串P與文本T左部對(duì)齊，而匹配搜索從P的最右邊一個(gè)字符開始，</p><p>　?、诤雎圆黄ヅ涞淖址?lt;/p><p>　　圖3-3壞字符算法（1）</p><p>　　x,y在匹配的過程中發(fā)生了匹配失敗a≠b，這時(shí)候判斷b.如果在x中沒有發(fā)現(xiàn).說明只要含有b就不可能匹配,所以跳到b的后面,繼續(xù)匹配.如圖3-3所示。</p><p&

46、gt;　　圖3-4壞字符算法（2）</p><p>　　x,y在匹配的過程中發(fā)生了匹配失敗a≠b,這時(shí)候判斷b.如果在x中發(fā)現(xiàn)有b,則從右邊數(shù)第一個(gè)b和y中的b對(duì)齊.如圖3-4所示。</p><p><b>　?、郯l(fā)現(xiàn)匹配字符：</b></p><p>　　圖3-5 好后綴處理算法（1）</p><p>　　關(guān)于&quo

47、t;u"的部分是匹配成功的.某一次匹配失敗.描述起來就是x[i+1 .. m-1]=y[i+j+1 .. j+m-1]=u and x[i]≠y[i+j] 如果"u"的部分在x中能找到.那么找到此位置與b對(duì)齊,但新位置必須滿足c≠b ，如圖3-5所示。</p><p>　　圖3-6 好后綴處理算法（2）</p><p>　　關(guān)于"u"的部

48、分是匹配成功的.某一次匹配失敗.描述起來就是x[i+1 .. m-1]=y[i+j+1 .. j+m-1]=u and x[i]≠y[i+j]如果"u"的部分在x中不能找到.那么找到x的一個(gè)最大前綴"v" 滿足是"u"中最大后綴.然后使這2部分對(duì)齊. 如圖3-6所示。</p><p>　　通過基于模式匹配的檢測(cè)方法，快速地探測(cè)網(wǎng)絡(luò)上不安全因素的存在。它利

49、用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，只提取數(shù)據(jù)包的重要特征送入處理模塊進(jìn)行檢測(cè)，不僅節(jié)約了檢測(cè)部分的資源，傳輸?shù)臅r(shí)候也極大提高了單位時(shí)間的包特傳輸速率。且同模式匹配技術(shù)結(jié)合，使得入侵檢測(cè)系統(tǒng)具有檢測(cè)速度快、系統(tǒng)消耗低、降低誤報(bào)率等優(yōu)點(diǎn)。</p><p>　　入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)</p><p>　　與防火墻等高度成熟的產(chǎn)品相比，入侵檢測(cè)系統(tǒng)還存在相當(dāng)多的問題，這些問題大多數(shù)是目前入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)所

50、難以克服的，而且這些矛盾可能越來越尖銳。入侵技術(shù)的發(fā)展與演化主要反映在以下幾個(gè)方面：</p><p>　　入侵或攻擊的綜合化與復(fù)雜化。攻擊者不斷增加的知識(shí)，日趨成熟多樣自動(dòng)化工具，以及越來越復(fù)雜細(xì)致的攻擊手法。入侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。</p><p>　　入侵主體對(duì)象的間接化，惡意信息采用加密的方法傳輸。通過一定的技術(shù)，可掩蓋攻擊主體的源地址、主機(jī)

51、位置和攻擊信息。</p><p>　　不斷增大的入侵或攻擊的規(guī)模。對(duì)于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對(duì)某公司或一個(gè)網(wǎng)站，而現(xiàn)在入侵或攻擊的規(guī)模不斷增大，單一的入侵檢測(cè)系統(tǒng)已很難應(yīng)付?？梢韵胍姡S著網(wǎng)絡(luò)流量的進(jìn)一步加大，對(duì)入侵檢測(cè)系統(tǒng)將提出更大的挑戰(zhàn)，在PC機(jī)上運(yùn)行純軟件系統(tǒng)的方式需要突破。</p><p>　　入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行，分布式攻擊是

52、近期最常用的攻擊手段。所謂的分布式拒絕服務(wù)在很短時(shí)間內(nèi)可造成被攻擊主機(jī)的癱瘓，且此類分布式攻擊的單片機(jī)信息模式與正常通信無差異，所以往往在攻擊發(fā)動(dòng)的初期不易被確認(rèn)。</p><p>　　攻擊對(duì)象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢(shì)。</p><p>　　入侵檢測(cè)系統(tǒng)作為一種新興的網(wǎng)絡(luò)安全手段，從

53、一開始就受到了大家的重視。近年來，入侵檢測(cè)技術(shù)獲得了極大地發(fā)展，今后的入侵檢測(cè)技術(shù)大致可朝以下幾個(gè)方向發(fā)展。</p><p>　　(1)云計(jì)算入侵檢測(cè)的發(fā)展</p><p>　　隨著云計(jì)算成為全球新興產(chǎn)業(yè)的重要代表，網(wǎng)絡(luò)入侵者都將目光投到了云計(jì)算這一未來充滿巨大市場(chǎng)空間的領(lǐng)域。由于云計(jì)算環(huán)境擁有強(qiáng)大的計(jì)算能力、海量的存儲(chǔ)空間和豐富的用戶信息，對(duì)網(wǎng)絡(luò)入侵者具有很大的誘惑力，云計(jì)算環(huán)境目前已經(jīng)

54、成為網(wǎng)絡(luò)入侵者的攻擊目標(biāo)。特別是作為云計(jì)算服務(wù)供應(yīng)商，在為云計(jì)算用戶提供計(jì)算、存儲(chǔ)和各種軟件式服務(wù)的過程中，很容易遭受各種安全威脅與攻擊的考驗(yàn)。同時(shí)，云計(jì)算環(huán)境下的網(wǎng)絡(luò)攻擊發(fā)動(dòng)更加快速、攻擊能力更加強(qiáng)大、攻擊后果更加嚴(yán)重，使得云計(jì)算環(huán)境的入侵檢測(cè)變得更加重要。</p><p>　　(2) 集成網(wǎng)絡(luò)分析和管理功能 </p><p>　　入侵檢測(cè)不但對(duì)網(wǎng)絡(luò)攻擊是一個(gè)檢測(cè)。同時(shí),侵檢測(cè)可以收到網(wǎng)

55、絡(luò)中的所有數(shù)據(jù),對(duì)網(wǎng)絡(luò)的故障分析和健康管理也可起到重大作用。當(dāng)管理員發(fā)現(xiàn)某臺(tái)主機(jī)有問題時(shí),也希望能馬上對(duì)其進(jìn)行管理。入侵檢測(cè)也不應(yīng)只采用被動(dòng)分析方法,最好能和主動(dòng)分析結(jié)合。所以,入侵檢測(cè)產(chǎn)品集成網(wǎng)管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以后發(fā)展的方向。 </p><p>　　(3) 安全性和易用性的提高 </p><p>　　入侵檢測(cè)是個(gè)安全產(chǎn)品,自身安全極為重要

56、。因此，目前的入侵檢測(cè)產(chǎn)品大多采用硬件結(jié)構(gòu),黑洞式接入,免除自身安全問題。同時(shí),對(duì)易用性的要求也日益增強(qiáng),例如：全中文的圖形界面,自動(dòng)的數(shù)據(jù)庫維護(hù),多樣的報(bào)表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細(xì)化的趨勢(shì)。 </p><p>　　(4) 高速實(shí)時(shí)入侵檢測(cè)技術(shù)</p><p>　　大量高速網(wǎng)絡(luò)技術(shù)在近年內(nèi)不斷出現(xiàn)，在此背景下的各種寬帶接入手段層出不窮，其中很多已經(jīng)得到了廣泛的應(yīng)用。

57、如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)已經(jīng)成為一個(gè)現(xiàn)實(shí)的問題。目前，雖然市場(chǎng)上也可以見到一些基于千兆以太網(wǎng)環(huán)境的入侵檢測(cè)產(chǎn)品，但其性能指標(biāo)還遠(yuǎn)未滿足要求。</p><p>　　(5) IDS與其他安全部件的互動(dòng)</p><p>　　實(shí)現(xiàn)網(wǎng)絡(luò)與信息的安全是一項(xiàng)系統(tǒng)工程,不是哪一種單獨(dú)的安全部件就可以完成的。只有在不同的安全部件之間實(shí)現(xiàn)互聯(lián)互動(dòng),才能更好的保證網(wǎng)絡(luò)與信息的安全。隨著防火墻、入侵檢測(cè)等

58、技術(shù)的不斷發(fā)展,實(shí)現(xiàn)它們之間的互動(dòng)顯得越來越重要。因此,對(duì)于安全部件之間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)的研究,也會(huì)是對(duì)IDS研究的一個(gè)重要方向。</p><p>　　由于IDS的地位越來越重要,防護(hù)的網(wǎng)絡(luò)規(guī)模越來越大,因此應(yīng)該把IDS和其他安全部件放在一個(gè)對(duì)等的位置來考慮它們之間的互動(dòng)。應(yīng)該考慮不同廠家的IDS之間,IDS與防火墻之間,IDS與響應(yīng)部件之間的互動(dòng)。在這方面還有很大一部分工作需要解決。</p>

59、<p>　　(6) IDS標(biāo)準(zhǔn)化工作</p><p>　　標(biāo)準(zhǔn)化的工作對(duì)于一項(xiàng)技術(shù)的發(fā)展至關(guān)主要。在某一個(gè)技術(shù)領(lǐng)域,如果沒有相應(yīng)的標(biāo)準(zhǔn),那么該領(lǐng)域的發(fā)展將會(huì)是無序的。IDS經(jīng)歷了20多年的發(fā)展,近幾年又成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一個(gè)研究熱點(diǎn),但是到目前為止,尚沒有一個(gè)相關(guān)的國際標(biāo)準(zhǔn)出現(xiàn),國內(nèi)也沒有IDS方面的標(biāo)準(zhǔn)。因此,IDS的標(biāo)準(zhǔn)化工作應(yīng)引起業(yè)內(nèi)的廣泛重視。 在IDS中,應(yīng)該進(jìn)行標(biāo)準(zhǔn)化的工作主要包括：大

60、規(guī)模分布式IDS的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述、IDS內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)等。</p><p><b>　　總結(jié)</b></p><p>　　通過查找相關(guān)資料,加深對(duì)入侵檢測(cè)技術(shù)的了解,對(duì)當(dāng)下流行技術(shù)進(jìn)行了簡(jiǎn)單的介紹以及比較.</p><p>　　入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)、外部

61、攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)中受到危害之前攔截和響應(yīng)入侵。雖然入侵檢測(cè)技術(shù)的算法多樣化,但兩類入侵檢測(cè)技術(shù)界限還是比較模糊的,隨著科技發(fā)展,兩類技術(shù)漸漸的朝綜合趨勢(shì)發(fā)展。而且它也不是一個(gè)完整的網(wǎng)絡(luò)解決方案,應(yīng)該與其它安全部件實(shí)現(xiàn)聯(lián)動(dòng),進(jìn)一出提高其性能。</p><p>　　從某種意義上來說，“安全”永遠(yuǎn)只是一個(gè)理論上的相對(duì)概念，仍然有一些不安全的因素沒有考慮到。也正是如此，人們提出了入侵檢測(cè)的概念，用來貼補(bǔ)

62、系統(tǒng)安全性的巨大漏洞。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，因?yàn)槿肭謾z測(cè)提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版社</p><p>　　聶元銘,丘平.網(wǎng)絡(luò)信息安全技術(shù)[M

63、].北京:科學(xué)出版社</p><p>　　董玉格,金海,趙振.攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京:人民 郵電出版社</p><p>　　戴云,范平志.入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用</p><p>　　劉文淘.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[M].北京:電子工業(yè)出版社</p><p>　　賀文華,陳志剛.網(wǎng)絡(luò)安全現(xiàn)狀分析與發(fā)展趨勢(shì)

64、[J].湖南人文科技學(xué)院</p><p>　　褚永剛,楊義先。入侵檢測(cè)系統(tǒng)的技術(shù)發(fā)展趨勢(shì)[J].北京郵電大學(xué)信息安全中心</p><p>　　The Present situation analysis and research of Intrusion Detection Technology</p><p>　　【Abstract】With the rapid

65、development and popularity of network, network security has become an important information security. The small personal information of the user, to the enterprise important data, but imperceptibly theft, give oneself an

66、d even bring interest loss. Intrusion detection technology in 1980 by JamesP.Anderson in giving a confidential customer wrote a report entitled " computer security threat monitoring and surveillance " technical