【正文】 機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的 ,他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策，因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。然而一個(gè)國(guó)家的政府、組織、公司和個(gè)人在利用 Inter 提高了效率的同時(shí)，在保衛(wèi)它們的系統(tǒng)免受網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊方面也正面臨著巨人的風(fēng)險(xiǎn)和挑戰(zhàn)，越來(lái)越多 的安全問(wèn)題正在對(duì)網(wǎng)絡(luò)應(yīng)用造成巨大的威脅。與此同時(shí)，網(wǎng)絡(luò)入侵者的經(jīng)驗(yàn)正在變得越來(lái)越豐富，攻擊工具和技術(shù)水平不斷提高，攻擊方法也在不斷地創(chuàng)新和更加豐富多樣化。繼而，人們制定了一系列的安全法則和評(píng)測(cè)標(biāo)準(zhǔn)，用來(lái)構(gòu)筑一個(gè)相對(duì)穩(wěn)固的安全系統(tǒng)。網(wǎng)絡(luò)防火墻雖然 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 4 為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問(wèn)控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為，對(duì)于內(nèi)部攻擊更是無(wú)能為力。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之作。 1989年，加州大學(xué)戴維斯分校的 Todd Heberlein寫(xiě)了一篇 論文 《 A Network Security Monitor》， 該監(jiān)控器用于捕獲 TCP/IP 分組，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測(cè)從此誕生。同時(shí)兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的 IDS 和基于主機(jī)的 IDS。因此， IDS 的未來(lái)發(fā)展必然是多元化的，只有通過(guò)不斷改進(jìn)和完善才能更好地協(xié)助網(wǎng)絡(luò)進(jìn)行安全防御。 第三階段是以基于完全協(xié)議分析 +模式匹配 +異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理；缺點(diǎn)是可視化程度不夠，防范及 管理功能較弱。在入侵檢測(cè)之前，大量的安 全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的，他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策。近年來(lái)，入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向： 分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu) 分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)傳統(tǒng)的 IDS 一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足，再加上不同的 IDS 系統(tǒng)之間不能很好地協(xié)同工作。 4． 3 智能的入侵檢測(cè)入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是，這只是一些嘗試性的研究工作，需要對(duì)智能化的 IDS 加以進(jìn)一步的研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。綜上所述，入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 7 加一道屏障。入侵檢測(cè)系統(tǒng)通過(guò)收集、分析有關(guān)網(wǎng)絡(luò)安全的信息，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的不正常模式或未授權(quán)訪問(wèn)嘗試。數(shù)據(jù)的收集主要來(lái)源以下幾個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件不期望的改變、程序不期望的行為 、物理形式的入侵?jǐn)?shù)據(jù)。 入侵檢測(cè)技術(shù)的檢測(cè)模型 從技術(shù)上劃分，入侵檢測(cè)有兩種檢測(cè)模型： 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 9 異常檢測(cè)模型 異常檢測(cè)模型：檢測(cè)與可接受行為之間的偏差。這種檢測(cè)模型漏報(bào)率低，誤報(bào)率高。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起告警。 誤用檢測(cè)的模型如圖 22 所示。如果匹配，檢測(cè)系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報(bào)警并采取相應(yīng)的行動(dòng)。 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。然而它只能監(jiān)視通 過(guò)本網(wǎng)段的活動(dòng)，并且精確度較差，在交換網(wǎng)絡(luò)環(huán)境中難于配置，防欺騙的能力也比較差。中央監(jiān)視器負(fù)責(zé)對(duì)整個(gè)監(jiān)視系統(tǒng)的管理，它應(yīng)該處于一個(gè)相對(duì)安全的地方。這種系統(tǒng)的優(yōu)點(diǎn)是可以對(duì)大型分布式網(wǎng)絡(luò)進(jìn)行檢測(cè)。 入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。它是盡量阻止攻擊或延緩攻擊。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 13 異常檢測(cè)技術(shù) 統(tǒng)計(jì)學(xué)方法 統(tǒng)計(jì)模型常用于對(duì)異常行為的檢測(cè) ,在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。 馬爾柯夫過(guò)程模型 :將每種類型的事件定義為系統(tǒng)狀態(tài) ,用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化 ,若對(duì)應(yīng)于發(fā)生事件的狀態(tài)矩陣中轉(zhuǎn)移概率較小 ,則該事件可能是異常事件。但是它的 學(xué)習(xí) 能力也給入侵者以機(jī)會(huì)通過(guò)逐步 訓(xùn)練 使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律 ,從而透過(guò)入侵檢測(cè)系統(tǒng)。 所謂的規(guī)則 ,即是知識(shí)。將有關(guān)入侵的知識(shí)轉(zhuǎn)化為 ifthen 結(jié)構(gòu) (也可以是復(fù)合結(jié)構(gòu) ),if 部分為入侵特征 ,then 部分是系統(tǒng)防范措施?，F(xiàn)已不宜單獨(dú)用于入侵檢測(cè) ,或單獨(dú)形成商品軟件。首先， 對(duì)已知的攻擊方法進(jìn)行攻擊簽名 (攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式 )表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。當(dāng)其中 某個(gè)或某部分條件滿足時(shí)，系統(tǒng)就判斷為入侵行為發(fā)生。因此，大多運(yùn)用與專家系統(tǒng)類似的特征分析法。 基于模型推理的誤用入侵檢測(cè) 模型推理是指結(jié)合攻擊腳本來(lái)推斷入侵行為是否出現(xiàn)。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的次數(shù)減少，從而攻擊腳本不斷地得到更新。 基于狀態(tài)轉(zhuǎn)換分析的誤用入侵檢測(cè) 狀態(tài)轉(zhuǎn)換分析是將狀態(tài)轉(zhuǎn)換圖應(yīng)用于入侵行為分析，它最早由 R． Kemmerer 提出。 基于條件概率的誤用入侵檢測(cè) 基于條件概率的誤用入侵檢測(cè)方法將入侵方式對(duì)應(yīng)于一個(gè)事件序列，然后通過(guò)觀測(cè)事件發(fā)生的情況來(lái)推測(cè)入侵的出現(xiàn)。 基于鍵 盤(pán)監(jiān)控的誤用入侵檢測(cè) 該方法假設(shè)入侵對(duì)應(yīng)特定的擊鍵序列模式，然后監(jiān)測(cè)用戶擊鍵模式，并將這一模式與入侵模式匹配，即能檢測(cè)入侵。因?yàn)檫@種技術(shù)僅僅分析擊鍵，所以不能夠檢測(cè)到惡意程序執(zhí)行結(jié)果的自動(dòng)攻擊。 當(dāng)然，入侵檢測(cè)技術(shù)很大和度上依賴于收集信息的可靠性和下確性，因此，很有必要只利用 當(dāng)前的優(yōu)秀軟件來(lái)報(bào)告這些信息。入侵分析過(guò)程需要將提取到的事件與入侵檢測(cè)規(guī)則進(jìn)行比較，從而發(fā)現(xiàn)入侵行為?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常使用報(bào)文的模式匹配或模式匹配序列來(lái)定義規(guī)則，檢測(cè)時(shí)將監(jiān)聽(tīng)到的報(bào)文與模式匹配序列進(jìn)行比較，根據(jù)比較的結(jié)果來(lái)判斷是否有非正常的網(wǎng)絡(luò)行為。而有的入侵行為由于需要進(jìn)行多層協(xié)議分析或有較強(qiáng)的上下文關(guān)系，需要消耗大量的處理能力來(lái)進(jìn)行檢測(cè)，因而在實(shí)現(xiàn)上也有很大的難度。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。在比較這一點(diǎn)上與模式匹配有些相象之處。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。 IDS 對(duì)網(wǎng)絡(luò)或系統(tǒng)上的可疑行為做出相應(yīng)的反應(yīng)，及時(shí)切斷入侵源，保護(hù)現(xiàn)場(chǎng)并通過(guò)各種途徑通知網(wǎng)絡(luò)管理員，增大保障系統(tǒng)安全。日志文件中了各種行類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶 ID 改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。黑客經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都在盡力支離替換系統(tǒng)程序或修改系統(tǒng)日志文件。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。 物理形式的入侵信息 這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì) 網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。黑客就會(huì)利用這個(gè)后門(mén)來(lái)訪問(wèn)內(nèi)部網(wǎng)，從而越過(guò)了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施，然后捕獲網(wǎng)絡(luò)流量， 進(jìn)而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。特別對(duì)于報(bào)警融合技術(shù)，它是整個(gè)報(bào)警處理過(guò)程中減少報(bào)警數(shù)目的最重要的環(huán)節(jié)，但并不是最終環(huán)節(jié)，其結(jié)果應(yīng)該利于后續(xù)報(bào)警關(guān)聯(lián)處理，也應(yīng)該 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 22 不影響安全管理員的信息獲取。 4．關(guān)聯(lián)算法的健壯性和協(xié)同攻擊的檢測(cè)能力有待加強(qiáng)當(dāng)今的關(guān)聯(lián)算法的健壯性以及協(xié)同攻擊檢測(cè)能力不足，這也是需要解決的問(wèn)題。該技術(shù)將呈現(xiàn)以下發(fā)展趨勢(shì)： （ 1） 智能化處理方法智能化處理方法是入侵檢測(cè)報(bào)警數(shù)據(jù)處理技術(shù)研究的重點(diǎn)。針對(duì)海量報(bào)警日志的多維關(guān)聯(lián)規(guī)則的產(chǎn)生以及怎樣應(yīng)用來(lái)評(píng)價(jià)網(wǎng)絡(luò)態(tài)勢(shì)，也成為了當(dāng)今的一個(gè)研究熱點(diǎn)。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 23 （ 4） 網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估逐漸成為入侵檢測(cè)報(bào)警數(shù)據(jù)處理領(lǐng)域研究的一個(gè)重要內(nèi)容。 （ 5） 入侵響應(yīng)技術(shù)入侵響應(yīng)技術(shù)的研究和應(yīng)用是入侵檢測(cè)報(bào)警數(shù)據(jù)處理研究的一個(gè)新方向。傳統(tǒng)的分析技術(shù)和模型，會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)，難以確定真正的入侵行為。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 25 改進(jìn)方法提高準(zhǔn)確率 ＩＤＳ可以主動(dòng)地檢測(cè)到對(duì)系統(tǒng)或網(wǎng)絡(luò)的入侵，并對(duì)這些入侵進(jìn)行記錄和響應(yīng)，這是防火墻、身份識(shí)別和認(rèn)證、加密解密等其他許多安全策略所不能做到的。最大的問(wèn)題是現(xiàn)在的入侵檢測(cè)產(chǎn)品檢測(cè)準(zhǔn)確率比較低 ，誤報(bào)和漏報(bào)的情況比較多。誤用檢測(cè)是對(duì)不正常的行為進(jìn)行建模，這些行為就是以前記錄下來(lái)的確認(rèn)了的誤用或攻擊。為了提高檢測(cè)準(zhǔn)確率，有人把其他領(lǐng)域的一些概念和方法引入到ＩＤＳ中來(lái)，主要有神經(jīng)網(wǎng)絡(luò)、模糊理論、免疫系統(tǒng)、數(shù)據(jù)挖掘等。目前一些產(chǎn)品已經(jīng)實(shí)現(xiàn)或部分實(shí)現(xiàn)了協(xié)議分析技術(shù)。因此，改進(jìn)現(xiàn)有的入侵檢測(cè)方法，提出新的、可以應(yīng)用于大規(guī)模高速網(wǎng)絡(luò)的入侵檢測(cè)方法，對(duì)于適應(yīng)新的應(yīng)用需 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 26 要，提高 ＩＤＳ的準(zhǔn)確率非常必要。這就是所謂的分布式攻擊，它可以在很短時(shí)間內(nèi)使被攻擊的主機(jī)癱瘓。而目前的ＩＤＳ產(chǎn)品對(duì)于分布式攻擊的防范能力普遍較弱。１９９５年以后，ＤｏＳ越來(lái)越多地成為黑客 研究的熱點(diǎn)，各種ＤｏＳ攻擊及其變種在網(wǎng)上廣為流傳，ＤｏＳ事件頻頻發(fā)生。 １９９９年以來(lái)，一種綜合了分布式攻擊和拒絕服務(wù)攻擊特點(diǎn)的新型攻擊開(kāi)始出現(xiàn)，這就是分布式拒絕服務(wù)攻擊（ＤＤｏＳ：Ｄｉｓｔｒｉｂｕｔ ｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）。只有在不同的安全部件之間實(shí)現(xiàn)互聯(lián)互動(dòng)，才能夠更好地發(fā)揮它們各自的作用，才可以比較好地保證網(wǎng)絡(luò)與信息的安全?，F(xiàn)在只有少數(shù)廠家是以ＩＤＳ為中心考慮安全部件的互動(dòng)和接口的，但也僅局限于自己開(kāi)發(fā)的ＩＤＳ和防火墻產(chǎn)品。 IDS 的標(biāo)準(zhǔn)化工作 標(biāo)準(zhǔn)化的工作對(duì)于一項(xiàng)技術(shù)的發(fā)展至關(guān)重要。 現(xiàn)在國(guó)際上主要有兩個(gè)組織在做這方面的工作，它們是公共入侵檢測(cè)框架工作組（ＣＩＤＦ）和入侵檢測(cè)工作小組（ＩＤＷＧ） 。 在ＩＤＳ中，應(yīng)該進(jìn)行標(biāo)準(zhǔn)化的工作主要包括：大規(guī)模分布式ＩＤＳ的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述（格式）、ＩＤＳ內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 28 的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)等。因此，盡快建立一套ＩＤＳ的測(cè)試評(píng)估標(biāo)準(zhǔn)，對(duì)產(chǎn)品開(kāi)發(fā)商和用戶都有好處。 對(duì)于ＩＤＳ的測(cè)試和評(píng)估，雖然不是ＩＤＳ本身的技術(shù)，但對(duì)于促進(jìn)ＩＤＳ的發(fā)展和ＩＤＳ產(chǎn)品的推廣非常重要。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。隨著入侵檢測(cè)技術(shù)地不斷發(fā)展，將來(lái)人們一定能夠充分利用好入侵檢測(cè)這一強(qiáng)大的網(wǎng)絡(luò)安全技術(shù)。 在做畢業(yè)設(shè)計(jì)的過(guò)程中，在老師的指導(dǎo)下，同學(xué)之間共同學(xué)習(xí)，克服了一個(gè)個(gè)困難，這段時(shí)間的學(xué)習(xí)使我對(duì)入侵檢測(cè)技術(shù)和模式識(shí)別等課程產(chǎn)生了濃厚的興趣。課堂里面所學(xué)的知識(shí)并非全面，只有從各個(gè)方面去研究、卻學(xué)習(xí)，才能獲得更全面的專業(yè)知識(shí)，這樣才能成為一個(gè)真正的專業(yè)化人才。 感謝 李安耀 ， 陳林 ， 楊斌，彭丕振 在平常的學(xué)習(xí)與生活中，他們給予了我許多幫助。父母為我付出太多太多，能 成為他們的兒子我非常幸福，希望將來(lái)他們能因我而驕傲。還要感謝負(fù)責(zé)督促并幫助我進(jìn)行設(shè)計(jì)的其他老師，感謝他們?yōu)槲业漠厴I(yè)設(shè)計(jì)提出的合理化建議，開(kāi)闊了我的視野，提高了我的水平， 使我得以按時(shí)完成我的任務(wù)，沒(méi)有辜負(fù)大家的一片苦心。在完成論文的過(guò)程中我遇到了許多困難， 首先特別感謝咸豐茂導(dǎo)師對(duì)我仔細(xì)、耐心的指導(dǎo) ,咸 老師淵博的知識(shí)、嚴(yán)謹(jǐn)求實(shí)的治學(xué)態(tài)度將永遠(yuǎn)是我的楷模。 在畢業(yè)設(shè)計(jì)的過(guò)程中我學(xué)到了一些以前不可能學(xué)到的知識(shí)，在老師講課的時(shí)候我們往往把知識(shí)局限于課本中。在寫(xiě)作 論文的過(guò)程中就因?yàn)橘Y料的收集問(wèn)題上導(dǎo)致論文數(shù)次停滯。但現(xiàn)狀是入侵檢測(cè)僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級(jí)和服務(wù)）階段 ，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)模塊。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 29 結(jié)論 本論文從入侵檢測(cè)技術(shù)的提出入手，描述了入侵檢測(cè)技術(shù)的研究史，然后詳細(xì)描述了檢測(cè)技術(shù)原理，列舉了功能概 要，具體介紹了入侵檢測(cè)技術(shù)技術(shù)分析過(guò)程，還詳細(xì)的闡述了入侵檢測(cè)的數(shù)據(jù)處理，最后指出入侵檢測(cè)技術(shù)發(fā)展方向。核心問(wèn)題則是建立一個(gè)測(cè)試ＩＤＳ的標(biāo)準(zhǔn)環(huán)境，這個(gè)環(huán)境可以模擬真實(shí)的網(wǎng)絡(luò)流量、用戶行為和攻擊行為?，F(xiàn)在的入侵檢測(cè)產(chǎn)品很需要一個(gè)大家公認(rèn)的ＩＤＳ測(cè)試評(píng)估標(biāo)準(zhǔn)，各個(gè)產(chǎn)品都使用這個(gè)統(tǒng)一的尺度來(lái)衡量、比較彼此的優(yōu)劣。ＩＤＷＧ是互聯(lián)網(wǎng)工程任務(wù)組（ＩＥＴＦ）下的一個(gè)工作小組，專門(mén)研究制定入侵檢測(cè)領(lǐng)域的草案（標(biāo)準(zhǔn)），它的工作目標(biāo)是定義ＩＤＳ中的數(shù)據(jù)格式、信息交換過(guò)程和交換協(xié)議