【正文】 關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。傳統(tǒng)的模式匹配的檢測(cè)方法的問題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流。 傳統(tǒng)模式匹配方法的問題：計(jì)算量大：對(duì)于一個(gè)特定網(wǎng)絡(luò)的每秒需要比較的最大次數(shù)為：攻擊特征字節(jié)數(shù)網(wǎng)絡(luò)數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量如果所有攻擊特征長(zhǎng)度為20字節(jié)，網(wǎng)絡(luò)數(shù)據(jù)包平均長(zhǎng)度為30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫(kù)中有4000條特征，那么，每秒比較次數(shù)為：20 x 300 x 30,000 x 4,000 = 720,000,000,000檢測(cè)準(zhǔn)確性：傳統(tǒng)的模式匹配只能檢測(cè)特定類型的攻擊。5〕 直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束6〕 對(duì)于每一個(gè)攻擊特征，重復(fù)2〕開始的比較。他的分析速度快、誤報(bào)率小等優(yōu)點(diǎn)是其它分析方法不可比擬的。第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 網(wǎng)絡(luò)引擎的設(shè)計(jì)網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。3．采用分接器（Tap），將其接在所有要監(jiān)測(cè)的線路上。缺點(diǎn)：采用此端口會(huì)降低交換機(jī)性能。由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個(gè)sniffer來監(jiān)聽整個(gè)子網(wǎng)的辦法不再可行。TCP是雙向協(xié)議，分析員必須確保計(jì)策器能從對(duì)話雙方接收信息。關(guān)于檢測(cè)器放置的最后一個(gè)問題就是它與誰連接。l 你可以檢測(cè)到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。它們可不僅僅是個(gè)口號(hào)。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來，檢測(cè)器在防火墻內(nèi)檢測(cè)到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。因?yàn)樵S多攻擊類型只能通過檢測(cè)是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP 3次握手才能進(jìn)行。一般說來檢測(cè)器放在防火墻附近比較好。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負(fù)載大、存儲(chǔ)系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計(jì)算機(jī)上。也可以采取主動(dòng)的反擊策略，對(duì)攻擊者進(jìn)行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。各種分析方法都有各自的優(yōu)勢(shì)和不足，因此，系統(tǒng)中分析方法應(yīng)該是可以動(dòng)態(tài)更換，并且多種算法可以并存的。 分析系統(tǒng)是對(duì)事件發(fā)生器捕獲的原始信息、其他入侵檢測(cè)系統(tǒng)提供的可疑信息進(jìn)行統(tǒng)一分析和和處理的系統(tǒng)。 存儲(chǔ)系統(tǒng)的作用是用來存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。 網(wǎng)絡(luò)引擎和主機(jī)代理屬于CIDF中的事件產(chǎn)生器（Event generators）。在部署時(shí)，這些部件可能在同一臺(tái)計(jì)算機(jī)上，也可以各自分布在一個(gè)大型網(wǎng)絡(luò)的不同地點(diǎn)。有效性要求：能夠證明根據(jù)某一設(shè)計(jì)所建立的入侵檢測(cè)系統(tǒng)是切實(shí)有效的。適應(yīng)性也包括入侵檢測(cè)系統(tǒng)本身對(duì)其宿主平臺(tái)的適應(yīng)性，即：跨平臺(tái)工作的能力，適應(yīng)其宿主平臺(tái)軟、硬件配置的各種不同情況。所以必須建立一種機(jī)制，把入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。結(jié)構(gòu)存在問題：現(xiàn)在的很多入侵檢測(cè)系統(tǒng)是從原來的基于網(wǎng)絡(luò)或基于主機(jī)的入侵檢測(cè)系統(tǒng)不斷改進(jìn)而得來的，在體系結(jié)構(gòu)等方面不能滿足分布、開放等要求。不同的入侵檢測(cè)系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測(cè)系統(tǒng)，但現(xiàn)在的入侵檢測(cè)系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時(shí)難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求?，F(xiàn)有的入侵檢測(cè)系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時(shí)可以很好地工作。CIDF標(biāo)準(zhǔn)還沒有正式確立，也沒有一個(gè)入侵檢測(cè)商業(yè)產(chǎn)品完全所用該標(biāo)準(zhǔn),但因?yàn)槿肭謾z測(cè)系統(tǒng)的特殊性，其實(shí)各種入侵檢測(cè)系統(tǒng)的模型都有很大的相似性。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：l 事件產(chǎn)生器（Event generators）l 事件分析器（Event analyzersl 響應(yīng)單元（Response units ）l 事件數(shù)據(jù)庫(kù)（Event databases ）CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,它可以是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是基于主機(jī)的入侵檢測(cè)系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。對(duì)于已知得攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且入侵模式庫(kù)必須不斷更新。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。實(shí)現(xiàn)一個(gè)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊操作的分析工作。錯(cuò)發(fā)的警報(bào)往往來自于對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。能夠判斷使用行為的合法或可疑。按照所使用的分析方法，可以分為以下幾種入侵檢測(cè)系統(tǒng)：1． 基于審計(jì)的攻擊檢測(cè)基于審計(jì)信息的攻擊檢測(cè)工具以及自動(dòng)分析工具可以向系統(tǒng)安全管理員報(bào)告計(jì)算機(jī)系統(tǒng)活動(dòng)的評(píng)估報(bào)告，通常是脫機(jī)的、滯后的。檢測(cè)主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫(kù)中出現(xiàn)。相信未來的集成化的入侵檢測(cè)產(chǎn)品不僅功能更加強(qiáng)大，而且部署和使用上也更加靈活方便。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過檢查所有的數(shù)據(jù)包的包頭（header）來進(jìn)行檢測(cè)，而基于主機(jī)的入侵檢測(cè)系統(tǒng)并不查看包首標(biāo)。l 占資源少 在被保護(hù)的設(shè)備上不用占用任何資源。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息。相反地，如果基于主機(jī)，則在每個(gè)主機(jī)上都需要一個(gè)代理，這樣的話，花費(fèi)昂貴，而且難于管理?；诰W(wǎng)絡(luò)的監(jiān)視器不運(yùn)行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計(jì)算機(jī)。實(shí)際上，許多客戶在最初使用IDS時(shí)，都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。根據(jù)加密方式在協(xié)議堆棧中的位置的不同，基于網(wǎng)絡(luò)的系統(tǒng)可能對(duì)某些攻擊沒有反應(yīng)。所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置。因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理的硬件設(shè)備。l 易于用戶剪裁 每一個(gè)主機(jī)有其自己的代理，當(dāng)然用戶剪裁更方便了。最后，基于主機(jī)的系統(tǒng)可以監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改?；谥鳈C(jī)技術(shù)還可監(jiān)視通常只有管理員才能實(shí)施的非正常行為。l 更加細(xì)膩 這種方法可以很容易地監(jiān)測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取，而這些活動(dòng)很難在基于網(wǎng)絡(luò)的系統(tǒng)中被發(fā)現(xiàn)。盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點(diǎn)。對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測(cè)的一個(gè)常用方法，是通過定期檢查校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)意外的變化。通常，基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。在這一較為簡(jiǎn)單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見的操作。 入侵檢測(cè)系統(tǒng)入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。而且，無論在理論上還是在實(shí)踐中，試圖徹底填補(bǔ)一個(gè)系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實(shí)可行的辦法解決合法用戶在通過“身份鑒別”或“身份認(rèn)證”后濫用特權(quán)的問題。.防火墻只實(shí)現(xiàn)了粗粒度的訪問控制。一般來說，由多個(gè)系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%以上來自內(nèi)部攻擊。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問。這樣的檢測(cè)機(jī)制對(duì)保證大壩的安全至關(guān)重要。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護(hù)上。實(shí)際上，安全就是防范潛在的危機(jī)。而“安全”是一個(gè)非常難于量化的指標(biāo)，真正是一個(gè)看不見摸不著的東西。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個(gè)簡(jiǎn)單的對(duì)比。入侵檢測(cè)系統(tǒng)在未來的網(wǎng)絡(luò)安全和軍事斗爭(zhēng)中將起到非常重要的作用。我們的目標(biāo)是設(shè)計(jì)一個(gè)分布式的入侵檢測(cè)系統(tǒng)，它具有可擴(kuò)展性、跨平臺(tái)性、安全性和開放性，并實(shí)現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。PDR2表示Protection、Detection、Recovery和Response，即保護(hù)、檢測(cè)、恢復(fù)和響應(yīng)。本人授權(quán)　　 　 　大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。同時(shí)改進(jìn)了匹配算法，使得網(wǎng)絡(luò)引擎具有更好的實(shí)時(shí)性能。他對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)，它不僅檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。入侵檢測(cè)技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)。在網(wǎng)絡(luò)引擎的實(shí)現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測(cè)速度。 pattern match畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動(dòng)態(tài)的安全模型，如PDR2模型。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。本課題是網(wǎng)絡(luò)安全實(shí)驗(yàn)室自擬課題“網(wǎng)絡(luò)數(shù)據(jù)分析”的一部分。 其中ISS公司的RealSecured的智能攻擊識(shí)別技術(shù)是當(dāng)前IDS系統(tǒng)中最為先進(jìn)的。第一章 入侵檢測(cè)系統(tǒng)概述信息系統(tǒng)的安全問題是一個(gè)十分復(fù)雜的問題，可以說信息系統(tǒng)有多復(fù)雜，信息系統(tǒng)安全問題就有多復(fù)雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同樣具有類似的特性。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。但是，“什么事情也沒有”也正是導(dǎo)致忽視安全問題的原因所在。但是隨著網(wǎng)絡(luò)的深入發(fā)展，這個(gè)標(biāo)準(zhǔn)已經(jīng)不能完全適應(yīng)當(dāng)前的技術(shù)需要，因?yàn)檫@個(gè)主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標(biāo)準(zhǔn)無法完全反應(yīng)分布式、動(dòng)態(tài)變化、發(fā)展迅速的Internet安全問題。舉例來說，一個(gè)水庫(kù)的大壩到底應(yīng)當(dāng)修多高？大壩有沒有漏洞？修好的大壩現(xiàn)在是否處在危險(xiǎn)的狀態(tài)？實(shí)際上，我們需要相應(yīng)的檢測(cè)機(jī)制，例如，利用工程探傷技術(shù)檢查大壩的質(zhì)量是否符合要求、觀察當(dāng)前的水位是否超出了警戒水位。其次，防火墻策略對(duì)于防范黑客有其明顯的局限性[4]。即防外不防內(nèi)。防火墻的安全策略無法進(jìn)行集中管理。許多防火墻對(duì)用戶的安全控制主要是基于用戶所用機(jī)器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。但迄今為止，軟件工程技術(shù)還沒有達(dá)到A2級(jí)所要求的形式生成或證明一個(gè)系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個(gè)系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。1．基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)出現(xiàn)在80年代初期，那時(shí)網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。基于主機(jī)的IDS仍使用驗(yàn)證記錄，但自動(dòng)化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測(cè)技術(shù)?；谥鳈C(jī)的IDS在發(fā)展過程中融入了其它技術(shù)。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。配置一個(gè)入侵監(jiān)測(cè)系統(tǒng)要花費(fèi)$10,000以上，而基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)于單獨(dú)－代理標(biāo)價(jià)僅幾百美元，并且客戶只需很少的費(fèi)用用于最初的安裝。基于網(wǎng)絡(luò)的系統(tǒng)要做到這個(gè)程度是非常困難的?；谥鳈C(jī)的IDS還可審計(jì)能影響系統(tǒng)記錄的校驗(yàn)措施的改變。l 視野集中 一旦入侵者得到了一個(gè)主機(jī)的用戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的。這些使得基于主機(jī)的系統(tǒng)效率很高。交換設(shè)備可將大型網(wǎng)絡(luò)分成許多的小型網(wǎng)絡(luò)段加以管理。某些加密方式也向基于網(wǎng)絡(luò)的入侵檢測(cè)發(fā)出了挑戰(zhàn)。在這方面，基于主機(jī)的IDS是基于網(wǎng)絡(luò)的IDS完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否2．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。 基于網(wǎng)絡(luò)的IDS有許多僅靠基于主機(jī)的入侵檢測(cè)法無法提供的功能。l 隱蔽性好 一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊。l 較少的監(jiān)測(cè)器 由于使用一個(gè)監(jiān)測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段，所以你不需要很多的監(jiān)測(cè)器。所以攻擊者無法轉(zhuǎn)移證據(jù)。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。從某個(gè)重要服務(wù)器的鍵盤發(fā)出的倍地攻擊并不經(jīng)過網(wǎng)絡(luò)，因此就無法通過基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)檢測(cè)到，只能通過使用基于主機(jī)的入侵檢測(cè)系統(tǒng)來檢測(cè)。而基于主機(jī)的系統(tǒng)無法看到負(fù)載，因此也無法識(shí)別嵌入式的負(fù)載攻擊。在下一代的入侵檢測(cè)系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好