【正文】 全管理缺陷等等。 由于存在更多的安全威脅和安全隱患，能否成功的阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常的運(yùn)行便成為網(wǎng)絡(luò) 管理員所面臨的一個(gè)重要問(wèn)題。 網(wǎng)絡(luò)安全技術(shù) 如今已有大量的研究機(jī)構(gòu)、社會(huì)團(tuán)體、商業(yè)公司和政府部門(mén)投入到網(wǎng)絡(luò)安全的研究中，并將此納入到一個(gè)被稱為信息安全的研究領(lǐng)域。網(wǎng)絡(luò)安全技術(shù)主要包括基于密碼學(xué)的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)等。后者則有：防火墻、路由選擇、反病毒技術(shù)等。 （ 1）數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密是網(wǎng)絡(luò)安全中采用的最基本的安全技術(shù)，目的是保護(hù)數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡(luò)上的安全傳輸，防止竊聽(tīng)。網(wǎng)絡(luò)中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問(wèn)題是加密 的方式以及實(shí)現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層次和密鑰的分配管理。按照收發(fā)雙方密鑰是否相同，可分為對(duì)稱密碼算法和非對(duì)稱密碼算法即公鑰密碼算法兩種。對(duì)稱密碼算法有保密度高，加密速度快的優(yōu)點(diǎn)，但其 密鑰的分發(fā)則是一個(gè)比較復(fù)雜的問(wèn)題。比較著名的對(duì)稱密碼算法有：美國(guó)的 DES和歐洲的 IDEA 等。在公鑰密碼中，收發(fā)雙方使用的密鑰各不相同，密鑰的管理比較方便。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應(yīng)用最為廣泛。 （ 2）鑒別技術(shù) 鑒別技術(shù)可以驗(yàn)證消息的完整性，有效的對(duì)抗冒充、非法訪問(wèn)、重演等威脅。按照鑒別對(duì)象的不同，鑒別 技術(shù)可分為消息源鑒別和通信雙方互相鑒別，按照鑒別內(nèi)容的不同，鑒別技術(shù)可分為用戶身份鑒別和消息內(nèi)容鑒別，鑒別的方法有很多種，主要有通過(guò)用戶標(biāo)識(shí)和口令、報(bào)文鑒別、數(shù)字簽名等方式。 （ 3）訪問(wèn)控制技術(shù) 訪問(wèn)控制是從計(jì)算機(jī)系統(tǒng)的處理能力方面對(duì)信息提供保護(hù)機(jī)制，它按照事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法。當(dāng)一個(gè)主體試圖非法使用一個(gè)未經(jīng)授權(quán)的資源時(shí)，訪問(wèn)機(jī)制將拒絕這一企圖，并將這一時(shí)間記錄到系統(tǒng)日志中。訪問(wèn)控制技術(shù)的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是保證網(wǎng)絡(luò)安全的重要策略之一。 （ 4）防火墻技術(shù) 防火 墻是一個(gè)或一組網(wǎng)絡(luò)設(shè)備，其工作方式是將內(nèi)聯(lián)網(wǎng)絡(luò)與因特網(wǎng)之間或者與其他外聯(lián)網(wǎng)絡(luò)間互相隔離，通過(guò)加強(qiáng)訪問(wèn)控制，阻止區(qū)域外的用戶對(duì)區(qū)域內(nèi)的資源的非法訪問(wèn)，使用防火墻可以進(jìn)行安全檢查、記錄網(wǎng)上安全事件等，在維護(hù)網(wǎng)絡(luò)安全作用中起著重要的作用。 （ 5）反病毒技術(shù) 計(jì)算機(jī)病毒是一段具有極強(qiáng)破壞性的惡意代碼，它可以將自身納入其他程序中，以此來(lái)進(jìn)行隱藏，復(fù)制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。計(jì)算機(jī)病毒的主要傳播途徑有：文件傳輸、軟盤(pán)拷貝、電子郵件等。網(wǎng)絡(luò)反病毒技術(shù)主 要包括檢查病毒和殺出病毒。 雖然網(wǎng)絡(luò)安全已經(jīng)超越了純技術(shù)領(lǐng)域，但網(wǎng)絡(luò)安全技術(shù)仍然是解決網(wǎng)絡(luò)安全最重要的基礎(chǔ)和研究方向。 本文研究?jī)?nèi)容 本文共分為五個(gè)部分，各部分內(nèi)容如下： 第一部分，主要介紹了課題提出的背景、意義、安全隱患、現(xiàn)有的安全技術(shù)等，強(qiáng)調(diào)了入侵檢測(cè)的重要性。 第二部分，主要介紹了入侵檢測(cè)相關(guān)的基礎(chǔ)知識(shí)、發(fā)展趨勢(shì)等與本文相關(guān)的理論。 第三部分，對(duì)整個(gè)系統(tǒng)的設(shè)計(jì)做了概述，介紹了系統(tǒng)的整體框架、開(kāi)發(fā)及運(yùn)行環(huán)境等。 第四部分，詳細(xì)介紹了檢測(cè)模塊的設(shè)計(jì)與實(shí)現(xiàn)以及系統(tǒng)集成后的運(yùn)行結(jié)果。其中包括檢測(cè)模塊的 設(shè)計(jì)思想、工作原理以及核心代碼的分析等。 第五部分，是對(duì)整個(gè)系統(tǒng)的測(cè)試與分析的總結(jié)。主要測(cè)試了檢測(cè)模塊實(shí)現(xiàn)的各種功能。 2. 入侵檢測(cè)基礎(chǔ) 當(dāng)我們無(wú)法完全防止入侵時(shí)，那么只能希望系統(tǒng)在受到攻擊時(shí)，能盡快檢測(cè)出入侵，而且最好是實(shí)時(shí)的，以便可以采取相應(yīng)的措施來(lái)對(duì)付入侵，這就是入侵檢測(cè)系統(tǒng)要做的，它從計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)（ IDS，Intrusion Detection System）正是一種采取主動(dòng)策略的網(wǎng)絡(luò)安全防護(hù)措施 ，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動(dòng)采集信息，從中分析可能的網(wǎng)絡(luò)入侵或攻擊，同時(shí)還對(duì)入侵行為做出緊急響應(yīng)。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)。 入侵檢測(cè)的定義 可以看到入侵檢測(cè)的作用就在于及時(shí)地發(fā)現(xiàn)各種攻擊以及攻擊企圖并作出反應(yīng)。我們可以給入侵檢測(cè)做一個(gè)簡(jiǎn)單的定義，入侵檢測(cè)就是對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。即入侵檢測(cè)（ Intrusion Detection）是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異常現(xiàn)象，利用審計(jì)記錄，入侵 檢測(cè)系統(tǒng)應(yīng)能識(shí)別出任何不希望有的活動(dòng)，這就要求對(duì)不希望的活動(dòng)加以限定，一旦當(dāng)它們出現(xiàn)就能自動(dòng)地檢測(cè)。 一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具備下列特點(diǎn)： 經(jīng)濟(jì)性：為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測(cè)系統(tǒng)必須不能妨礙系統(tǒng)的正常運(yùn)行（如系統(tǒng)性能）。 時(shí)效性：必須及時(shí)的發(fā)現(xiàn)各種入侵行為，理想情況是在事前發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實(shí)的情況則是在攻擊行為發(fā)生的過(guò)程中檢測(cè)到。 安全性：入侵檢測(cè)系統(tǒng)自身必須安全，如果入侵檢測(cè)系統(tǒng)自身的安全性得不到保障，首先意味著信息的無(wú)效，而更嚴(yán)重的是入侵者控制了入侵檢測(cè)系統(tǒng)即獲得了對(duì)系統(tǒng)的控制權(quán) 。 可擴(kuò)展性：可擴(kuò)展性有兩方面的意義。第一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)有機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè)。第二是體系結(jié)構(gòu)的可擴(kuò)展性，在必要 的時(shí)候可以在不對(duì)系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下對(duì)檢測(cè)手段進(jìn)行加強(qiáng)，以保證能檢測(cè)到新的攻擊。 入侵檢測(cè)與 P2DR 模型 P2DR 模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。它的指導(dǎo)實(shí)現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。 PDR 是 Policy(策略 )、 Protection(防護(hù) )、 Detection(檢測(cè) )和 Response(響應(yīng) )的縮寫(xiě)，特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性。 P2DR 模型闡述了這樣一個(gè)結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時(shí)間，盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。入侵檢測(cè)技術(shù)就是實(shí)現(xiàn) P2DR 模型中 ” Detection” 部分的主要技術(shù)手段。在 P2DR 模型中，安全策略處于中心地位，但是從另一個(gè)角度來(lái)看，安全策略也是制定入侵檢測(cè)中檢測(cè)策略的一個(gè)重要信息來(lái)源，入侵檢測(cè)系統(tǒng)需要根據(jù)現(xiàn)有的安全策略信息來(lái)更好地配置系統(tǒng)模塊參數(shù)信息。當(dāng)發(fā)現(xiàn)入侵行為后，入侵檢測(cè)系統(tǒng)會(huì)通過(guò)響應(yīng)模塊改變系統(tǒng)的防護(hù)措施，改善系統(tǒng)的防護(hù)能力，從而實(shí)現(xiàn)動(dòng)態(tài)的系統(tǒng)安全模型。因此，從技術(shù)手段上分析，入侵檢測(cè)可以看作是 實(shí)現(xiàn) P2DR 模型的承前啟后的關(guān)鍵環(huán)節(jié)。 圖 21 P2DR安全模型 入侵檢測(cè)的原理 入侵檢測(cè)系統(tǒng)（ IDS,Intrusion Detetion System）是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。 在 P2DR 安全模型中、入侵檢測(cè)位于檢測(cè)環(huán)節(jié)，它的作用在于承接防護(hù)和響應(yīng)過(guò)程，也就是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。它Policy Protection Response Detectionon 通過(guò)對(duì)采集到的網(wǎng)絡(luò)數(shù)據(jù)在線或離線進(jìn)行分析，當(dāng)發(fā)現(xiàn)有入侵企圖或入侵行為時(shí)，能依據(jù)響應(yīng)規(guī)則做出發(fā)送入侵警報(bào)、記錄入侵事件、引誘轉(zhuǎn)發(fā)、中斷入侵連接甚至發(fā)動(dòng)入侵等響應(yīng)行為，同時(shí)還能提醒管理員采取進(jìn)一步防護(hù)措施。它能在不影響網(wǎng)絡(luò)性能或輕負(fù)載的情況下，檢測(cè)網(wǎng)絡(luò)并實(shí)現(xiàn)對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 入侵檢測(cè)和其他的檢測(cè)技術(shù)有相同原理：從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。入侵者進(jìn)行攻擊時(shí)會(huì)留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行產(chǎn)生的數(shù)據(jù)混合在一起。入侵檢測(cè)的任務(wù)之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。可見(jiàn)，入侵檢測(cè)系統(tǒng)有兩個(gè)主要部分：數(shù)據(jù)獲取和檢測(cè)。 接下來(lái)看一下入侵檢測(cè)系統(tǒng)的檢測(cè)流程，如圖 22 中給出了一個(gè)通用的入侵檢測(cè)系統(tǒng)流程。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。 圖 22 入侵檢測(cè)流程圖 數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù)，數(shù)據(jù)的來(lái)源可以是主機(jī)上的日志信息、變動(dòng)信息，也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息，甚至是流量變化等，這些都可以作為數(shù)據(jù)源。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)后，需要對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn) 單的處理，如簡(jiǎn)單的過(guò)濾、數(shù)據(jù)格式標(biāo)準(zhǔn)化等，然后將經(jīng)過(guò)處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。 數(shù)據(jù)分析模塊的作用在于對(duì)數(shù)據(jù)進(jìn)行深入的分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給結(jié)果處理模塊。數(shù)據(jù)分析的方法多種多樣，可以簡(jiǎn)單到對(duì)某種行為的計(jì)數(shù)，也可以是一個(gè)復(fù)雜的專(zhuān)家系統(tǒng)。 結(jié)果處理模塊的作用在于告警與反應(yīng)，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后需要系統(tǒng)及時(shí)的進(jìn)行反應(yīng)，包括報(bào)告、記錄、反映和恢復(fù)。 入侵檢測(cè)的分類(lèi) 通過(guò)對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)和技術(shù)的研究，可以從下面幾個(gè)方面對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行分類(lèi)： (1) 根據(jù)數(shù)據(jù)來(lái) 源或監(jiān)視的對(duì)象分類(lèi) 數(shù)據(jù) 數(shù)據(jù)提取 數(shù)據(jù) 事件 事件 數(shù)據(jù)分析 結(jié)果處理 ? 基于主機(jī)（ HostBased）的入侵檢測(cè)系統(tǒng) 數(shù)據(jù)來(lái)源于主機(jī)系統(tǒng)。主機(jī)系統(tǒng)中最經(jīng)典的數(shù)據(jù)源就是審計(jì)日志，也有的入侵檢測(cè)系統(tǒng)將數(shù)據(jù)源擴(kuò)展到系統(tǒng)日志、應(yīng)用程序日志、系統(tǒng)狀態(tài)、系統(tǒng)調(diào)用信息等。顯然，它所監(jiān)視和保護(hù)的對(duì)象是主機(jī)。 ? 基于網(wǎng)絡(luò)（ workbased）的入侵檢測(cè)系統(tǒng) 數(shù)據(jù)來(lái)源于整個(gè)網(wǎng)絡(luò)，它建立在線路偵聽(tīng)的基礎(chǔ)上。實(shí)際實(shí)現(xiàn)時(shí)，一般是把入侵檢測(cè)系統(tǒng)所在的主機(jī)的網(wǎng)卡設(shè)為混雜模式，從而捕獲經(jīng)過(guò)它的所有網(wǎng)絡(luò)數(shù)據(jù)包。它監(jiān)視的對(duì)象是整個(gè)共享子網(wǎng)，能夠?yàn)檎麄€(gè)共享子網(wǎng)提供保護(hù)。 基于主機(jī)的入侵檢 測(cè)系統(tǒng)與主機(jī)結(jié)合較為緊密，能發(fā)現(xiàn)一些基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)不了的入侵。不過(guò)基于主機(jī)的入侵檢測(cè)系統(tǒng)缺乏跨平臺(tái)性，而且會(huì)在服務(wù)器上產(chǎn)生額外的負(fù)載。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)在于秘密性、平臺(tái)無(wú)關(guān)性、易于實(shí)現(xiàn)。它將涉及多個(gè)主機(jī)的入侵信息進(jìn)行關(guān)聯(lián)分析、保護(hù)范圍大。它對(duì)現(xiàn)有的系統(tǒng)或基礎(chǔ)設(shè)施不會(huì)有什么影響，被檢測(cè)到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡(luò) IDS 都是獨(dú)立的：已部署的基本網(wǎng)絡(luò)的入侵檢測(cè)傳感器將監(jiān)視所有的攻擊，而不管目標(biāo)系統(tǒng)使用什么樣的操作系統(tǒng)平臺(tái)。 (2) 根據(jù)入侵檢測(cè)方法分類(lèi) ? 基于異常（ anomalybased）的入侵檢測(cè) 基于異常的入侵檢測(cè)，簡(jiǎn)稱異常檢測(cè)。它的基本假設(shè)是入侵活動(dòng)具有不同于正常用戶活動(dòng)的特征，即入侵活動(dòng)表現(xiàn)為異常。首先根據(jù)主題的歷史活動(dòng)記錄，為每個(gè)主體建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”；將當(dāng)前的主體活動(dòng)與“活動(dòng)簡(jiǎn)檔”進(jìn)行比較，如果差異大于某個(gè)預(yù)定義的值，就認(rèn)為這是一次入侵。 ? 基于特征（ signaturebased）的入侵檢測(cè) 基于特征的入侵檢測(cè)，簡(jiǎn)稱特征檢測(cè)。首先將已知的每種入侵方法都表示成一條入侵規(guī)則；將當(dāng)前發(fā)生的活動(dòng)與入侵規(guī)則集進(jìn)行匹配，如果當(dāng)前的活動(dòng)與某條入侵規(guī)則匹配就認(rèn)為是采用該種入侵方法 發(fā)起的一次進(jìn)攻。 基于異常的入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)在于：能夠發(fā)現(xiàn)未知的攻擊；通過(guò)采用適當(dāng)?shù)淖詫W(xué)習(xí)算法，基于異常的入侵檢測(cè)系統(tǒng)一旦建立，可以不必修改和更新。它的缺點(diǎn)是建立系統(tǒng)主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”和設(shè)置合適的臨界值都比較困難、誤報(bào)警率高。 基于特征的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是準(zhǔn)確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫(kù)需要不斷更新。因?yàn)楫惓z測(cè)方法難以實(shí)現(xiàn)，所以很少被采用；所有的商業(yè)入侵檢測(cè)系統(tǒng)都采用了某種形式的特征檢測(cè)方法。但是，異常檢測(cè)方法的優(yōu)點(diǎn)讓研究人員向往不已，大部分的研究工作都集中在異常檢測(cè)方面，人 們 提出了各種各樣的新方法企圖使異常檢測(cè)實(shí)用化。 除此以外，入侵檢測(cè)系統(tǒng)還可以按數(shù)據(jù)分析發(fā)生的時(shí)間、入侵攻擊的響應(yīng)方式等方法分類(lèi)。各種分類(lèi)方法體現(xiàn)了對(duì)入侵檢測(cè)系統(tǒng)理解的不同側(cè)面。 入侵檢測(cè)的發(fā)展趨勢(shì) 入侵檢測(cè)從最初實(shí)驗(yàn)室里的研究課題到目前的商業(yè) IDS 產(chǎn)品，已經(jīng)有 20 多年的發(fā)展歷史。隨著入侵檢測(cè)系統(tǒng)研究和應(yīng)用的不斷深入，近年對(duì)入侵檢測(cè)技術(shù)有以下幾個(gè)主要的發(fā)展方向。 ? 體系結(jié)構(gòu)的新發(fā)展 進(jìn)一步研究分布式入侵檢測(cè)與通用的入侵檢測(cè)構(gòu)架。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測(cè)框架， 總體結(jié)構(gòu)和各部件的相互關(guān)系， IDS 管理，具有可伸縮性、重用性的系統(tǒng)框架，安全、健壯和可擴(kuò)展的安全策略。 ? 應(yīng)用層入侵檢測(cè) 許多入侵的語(yǔ)言只有在應(yīng)用層才能理解，而目前的 IDS 僅能檢測(cè)諸如 Web之類(lèi)的通用協(xié)議，而不能處理諸如 Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。 ? 智能的入侵檢測(cè) 入侵方法的越來(lái)越多樣化和復(fù)雜化，傳統(tǒng)的入侵檢測(cè)方法還存在著不少不足，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但這只是一 些嘗試性的研究工作，需要對(duì)智能代理的 IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。 ? 響應(yīng)策略與恢復(fù)研究 IDS 是識(shí)別出入侵后的響應(yīng)策略維護(hù)系統(tǒng)安全性、完整性的關(guān)鍵。 IDS 的目標(biāo)是實(shí)現(xiàn)實(shí)時(shí)響應(yīng)和恢復(fù)。實(shí)現(xiàn) IDS 的響應(yīng)包括向管理員和其他實(shí)體發(fā)出報(bào)警，進(jìn)行緊急處理；對(duì)攻擊的追蹤、誘導(dǎo)和反擊，對(duì)于攻擊源數(shù)據(jù)的聚集以及 ID 部件的自學(xué)習(xí)和改進(jìn)。 IDS 的恢復(fù)研究包括系統(tǒng)狀態(tài)一致性檢測(cè)，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復(fù)策略和恢復(fù)機(jī)