【正文】 能的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過濾，判斷是否符合過濾條件。3〕 TCP協(xié)議在第35字節(jié)處有一個(gè)2字節(jié)的應(yīng)用層協(xié)議標(biāo)識(shí)（端口號(hào)）。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。 傳統(tǒng)模式匹配方法的問題：計(jì)算量大：對(duì)于一個(gè)特定網(wǎng)絡(luò)的每秒需要比較的最大次數(shù)為：攻擊特征字節(jié)數(shù)網(wǎng)絡(luò)數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量如果所有攻擊特征長(zhǎng)度為20字節(jié)，網(wǎng)絡(luò)數(shù)據(jù)包平均長(zhǎng)度為30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫(kù)中有4000條特征，那么，每秒比較次數(shù)為：20 x 300 x 30,000 x 4,000 = 720,000,000,000檢測(cè)準(zhǔn)確性：傳統(tǒng)的模式匹配只能檢測(cè)特定類型的攻擊。他的分析速度快、誤報(bào)率小等優(yōu)點(diǎn)是其它分析方法不可比擬的。3．采用分接器（Tap），將其接在所有要監(jiān)測(cè)的線路上。由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個(gè)sniffer來(lái)監(jiān)聽整個(gè)子網(wǎng)的辦法不再可行。關(guān)于檢測(cè)器放置的最后一個(gè)問題就是它與誰(shuí)連接。它們可不僅僅是個(gè)口號(hào)。因?yàn)樵S多攻擊類型只能通過檢測(cè)是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP 3次握手才能進(jìn)行。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負(fù)載大、存儲(chǔ)系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計(jì)算機(jī)上。各種分析方法都有各自的優(yōu)勢(shì)和不足，因此，系統(tǒng)中分析方法應(yīng)該是可以動(dòng)態(tài)更換，并且多種算法可以并存的。 存儲(chǔ)系統(tǒng)的作用是用來(lái)存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。在部署時(shí)，這些部件可能在同一臺(tái)計(jì)算機(jī)上，也可以各自分布在一個(gè)大型網(wǎng)絡(luò)的不同地點(diǎn)。適應(yīng)性也包括入侵檢測(cè)系統(tǒng)本身對(duì)其宿主平臺(tái)的適應(yīng)性，即：跨平臺(tái)工作的能力，適應(yīng)其宿主平臺(tái)軟、硬件配置的各種不同情況。結(jié)構(gòu)存在問題：現(xiàn)在的很多入侵檢測(cè)系統(tǒng)是從原來(lái)的基于網(wǎng)絡(luò)或基于主機(jī)的入侵檢測(cè)系統(tǒng)不斷改進(jìn)而得來(lái)的，在體系結(jié)構(gòu)等方面不能滿足分布、開放等要求。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。CIDF標(biāo)準(zhǔn)還沒有正式確立，也沒有一個(gè)入侵檢測(cè)商業(yè)產(chǎn)品完全所用該標(biāo)準(zhǔn),但因?yàn)槿肭謾z測(cè)系統(tǒng)的特殊性，其實(shí)各種入侵檢測(cè)系統(tǒng)的模型都有很大的相似性。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：l 事件產(chǎn)生器（Event generators）l 事件分析器（Event analyzersl 響應(yīng)單元（Response units ）l 事件數(shù)據(jù)庫(kù)（Event databases ）CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,它可以是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是基于主機(jī)的入侵檢測(cè)系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊操作的分析工作。能夠判斷使用行為的合法或可疑。檢測(cè)主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫(kù)中出現(xiàn)。聯(lián)合使用基于主機(jī)和基于網(wǎng)絡(luò)這兩種方式能夠達(dá)到更好的檢測(cè)效果。l 占資源少 在被保護(hù)的設(shè)備上不用占用任何資源。相反地，如果基于主機(jī)，則在每個(gè)主機(jī)上都需要一個(gè)代理，這樣的話，花費(fèi)昂貴，而且難于管理。實(shí)際上，許多客戶在最初使用IDS時(shí)，都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。根據(jù)加密方式在協(xié)議堆棧中的位置的不同，基于網(wǎng)絡(luò)的系統(tǒng)可能對(duì)某些攻擊沒有反應(yīng)。因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理的硬件設(shè)備。最后，基于主機(jī)的系統(tǒng)可以監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的更改。l 更加細(xì)膩 這種方法可以很容易地監(jiān)測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取，而這些活動(dòng)很難在基于網(wǎng)絡(luò)的系統(tǒng)中被發(fā)現(xiàn)。對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測(cè)的一個(gè)常用方法，是通過定期檢查校驗(yàn)和來(lái)進(jìn)行的，以便發(fā)現(xiàn)意外的變化。在這一較為簡(jiǎn)單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見的操作。而且，無(wú)論在理論上還是在實(shí)踐中，試圖徹底填補(bǔ)一個(gè)系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實(shí)可行的辦法解決合法用戶在通過“身份鑒別”或“身份認(rèn)證”后濫用特權(quán)的問題。一般來(lái)說，由多個(gè)系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護(hù)上。而“安全”是一個(gè)非常難于量化的指標(biāo)，真正是一個(gè)看不見摸不著的東西。入侵檢測(cè)系統(tǒng)在未來(lái)的網(wǎng)絡(luò)安全和軍事斗爭(zhēng)中將起到非常重要的作用。在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。本人授權(quán)　　 　 　大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。他對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)，它不僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。在網(wǎng)絡(luò)引擎的實(shí)現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測(cè)速度。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動(dòng)態(tài)的安全模型，如PDR2模型。本課題是網(wǎng)絡(luò)安全實(shí)驗(yàn)室自擬課題“網(wǎng)絡(luò)數(shù)據(jù)分析”的一部分。第一章 入侵檢測(cè)系統(tǒng)概述信息系統(tǒng)的安全問題是一個(gè)十分復(fù)雜的問題，可以說信息系統(tǒng)有多復(fù)雜，信息系統(tǒng)安全問題就有多復(fù)雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同樣具有類似的特性。但是，“什么事情也沒有”也正是導(dǎo)致忽視安全問題的原因所在。舉例來(lái)說，一個(gè)水庫(kù)的大壩到底應(yīng)當(dāng)修多高？大壩有沒有漏洞？修好的大壩現(xiàn)在是否處在危險(xiǎn)的狀態(tài)？實(shí)際上，我們需要相應(yīng)的檢測(cè)機(jī)制，例如，利用工程探傷技術(shù)檢查大壩的質(zhì)量是否符合要求、觀察當(dāng)前的水位是否超出了警戒水位。即防外不防內(nèi)。許多防火墻對(duì)用戶的安全控制主要是基于用戶所用機(jī)器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)?；谥鳈C(jī)的IDS仍使用驗(yàn)證記錄，但自動(dòng)化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測(cè)技術(shù)。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中?；诰W(wǎng)絡(luò)的系統(tǒng)要做到這個(gè)程度是非常困難的。l 視野集中 一旦入侵者得到了一個(gè)主機(jī)的用戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的。交換設(shè)備可將大型網(wǎng)絡(luò)分成許多的小型網(wǎng)絡(luò)段加以管理。在這方面，基于主機(jī)的IDS是基于網(wǎng)絡(luò)的IDS完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否2．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。l 隱蔽性好 一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊。所以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。從某個(gè)重要服務(wù)器的鍵盤發(fā)出的倍地攻擊并不經(jīng)過網(wǎng)絡(luò)，因此就無(wú)法通過基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)檢測(cè)到，只能通過使用基于主機(jī)的入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)。在下一代的入侵檢測(cè)系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來(lái)，提供集成化的攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)功能。這種檢測(cè)方式的核心在于如何分析所系統(tǒng)運(yùn)行情況。2．基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)[12]如上所述，基于審計(jì)統(tǒng)計(jì)數(shù)據(jù)的攻擊檢測(cè)系統(tǒng)，具有一些天生的弱點(diǎn)，因?yàn)橛脩舻男袨榭梢允欠浅?fù)雜的，所以想要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的。類似的規(guī)則在統(tǒng)計(jì)系統(tǒng)似乎也有，同時(shí)應(yīng)當(dāng)說明的是基于規(guī)則的專家系統(tǒng)或推理系統(tǒng)也有其局限性，因?yàn)樽鳛檫@類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而對(duì)系統(tǒng)的最危險(xiǎn)的威脅則主要是來(lái)自未知的安全漏洞?；诋惓５臋z測(cè)技術(shù)的核心是維護(hù)一個(gè)入侵模式庫(kù)。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。借或網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)時(shí)間和系統(tǒng)資源?，F(xiàn)在幾乎所有的入侵檢測(cè)系統(tǒng)都使用了單一的分析方法。可擴(kuò)展性要求：因?yàn)榇嬖诔汕先f(wàn)種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。確保該入侵檢測(cè)系統(tǒng)的安全性與可用性。圖2－1 ODID系統(tǒng)框圖 ODIDS的主要部件有：網(wǎng)絡(luò)引擎(Network Engine)、主機(jī)代理(Host Agent)、存儲(chǔ)系統(tǒng)(Storage System)、分析系統(tǒng)(analyzer)、響應(yīng)系統(tǒng)(Response System)、控制臺(tái)（Manager Console）。因此，存儲(chǔ)系統(tǒng)應(yīng)該提供靈活的數(shù)據(jù)維護(hù)、處理和查詢服務(wù)，同時(shí)也是一個(gè)安全的日志系統(tǒng)。也可以采取保護(hù)性措施，如切斷入侵者的TCP連接、修改路由器的訪問控制策略等。如果檢測(cè)器放的位置不正確，入侵檢測(cè)系統(tǒng)也無(wú)法工作在最佳狀態(tài)。2. 檢測(cè)器在防火墻內(nèi)有一些研究者認(rèn)為檢測(cè)器應(yīng)放在防火墻內(nèi)部，這種做法也有幾個(gè)充分理由，他們認(rèn)為，如果攻擊者能夠發(fā)現(xiàn)檢測(cè)器，就可能會(huì)對(duì)檢測(cè)器進(jìn)行攻擊，從而減小攻擊者的行動(dòng)被審計(jì)的機(jī)會(huì)，防火墻內(nèi)的系統(tǒng)會(huì)比外面的系統(tǒng)脆弱性少一些，如果檢測(cè)器在防火墻內(nèi)就會(huì)少一些干擾，從而有可能減少誤報(bào)警 。l 你可以檢測(cè)來(lái)自內(nèi)部和外部的攻擊。如果檢測(cè)器要在交換網(wǎng)絡(luò)中工作，就必須對(duì)它進(jìn)行測(cè)試。優(yōu)點(diǎn)：無(wú)需改變IDS體系結(jié)構(gòu)。4．使用具有網(wǎng)絡(luò)接口檢測(cè)功能的主機(jī)代理。分析如下：2〕 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始和攻擊特征比較3〕 如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊4〕 如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開始比較。但以上的匹配方法卻不能檢測(cè)。以下是基于協(xié)議分析的入侵檢測(cè)系統(tǒng)如何處理上面例中的數(shù)據(jù)包的：AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456協(xié)議規(guī)范指出以太網(wǎng)絡(luò)數(shù)據(jù)包中第13字節(jié)處包含了兩個(gè)字節(jié)的第三層協(xié)議標(biāo)識(shí)。HTTP協(xié)議規(guī)定第55字節(jié)是URL開始處，我們要檢測(cè)供給特征“GET /cgibin/./phf”，因此要仔細(xì)檢測(cè)這個(gè)URL。我們采用了專門為數(shù)據(jù)監(jiān)聽?wèi)?yīng)用程序設(shè)計(jì)的開發(fā)包里Wincap來(lái)實(shí)現(xiàn)這模塊，開發(fā)包中內(nèi)置的內(nèi)核層實(shí)現(xiàn)的BDF過濾機(jī)制和許多接口函數(shù)不但能夠提高監(jiān)聽部分的效率，也降低了我們開發(fā)的難度?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個(gè)特定的協(xié)議是該樹結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹來(lái)表示（如圖3－3）。協(xié)議特征是用于判定一個(gè)數(shù)據(jù)包是否為該協(xié)議的特征數(shù)據(jù),這是協(xié)議分析模塊判斷該數(shù)據(jù)包的協(xié)議類型的主要依據(jù)。數(shù)據(jù)分析函數(shù)不僅僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個(gè)事件來(lái)觸發(fā)。甚至在不關(guān)閉系統(tǒng)的狀態(tài)下向系統(tǒng)動(dòng)態(tài)地添加新的數(shù)據(jù)分析功。 主機(jī)代理基于主機(jī)的入侵檢測(cè)要依賴于特定的操作系統(tǒng)和審計(jì)跟蹤日志獲取信息，此類系統(tǒng)的原始數(shù)據(jù)來(lái)源受到所依附具體操作系統(tǒng)平臺(tái)的限制，系統(tǒng)的實(shí)現(xiàn)主要針對(duì)某種特定的系統(tǒng)平臺(tái)，在環(huán)境適應(yīng)性、可移植性方面問題較多。2．目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。比如用日志分析方法來(lái)檢測(cè)CGI攻擊的代價(jià)是非常小的，但日志分析屬于事后分析，攻擊已經(jīng)完成了。對(duì)于用戶行為的分析也是一個(gè)監(jiān)測(cè)方面。第一，由于一個(gè)網(wǎng)絡(luò)傳感器可以監(jiān)視具有多臺(tái)主機(jī)的整個(gè)網(wǎng)段，從路由器的基礎(chǔ)設(shè)施到應(yīng)用程序的訪問，可以說網(wǎng)絡(luò)傳感器能夠檢測(cè)企業(yè)網(wǎng)絡(luò)中所有組件所受到的攻擊。因?yàn)橥ǔ＞W(wǎng)絡(luò)數(shù)據(jù)都是停留在換的網(wǎng)段內(nèi)部。本來(lái)這兩者各自均不能完美地解決安全檢測(cè)問題，但通過巧妙地結(jié)合，它們構(gòu)成了實(shí)現(xiàn)網(wǎng)絡(luò)威脅檢測(cè)的可靠解決方案。第一種選擇的優(yōu)點(diǎn)在于，一旦制定了載入原始數(shù)據(jù)的方法并對(duì)它們進(jìn)行處理，就解決的數(shù)據(jù)載入的所有問題。在網(wǎng)絡(luò)引擎和主機(jī)代理中對(duì)已知的攻擊方法進(jìn)行實(shí)時(shí)檢測(cè)，在這個(gè)層次的檢測(cè)中強(qiáng)調(diào)實(shí)時(shí)性所以采用的是比較計(jì)算量比較小的模式匹配方法。 數(shù)據(jù)縮減 即使編寫的很好的過濾器也會(huì)出現(xiàn)誤報(bào)警。一般認(rèn)為原始數(shù)據(jù)應(yīng)該保存3天到一周，我們總是盡可能長(zhǎng)地保存原始數(shù)據(jù)，源為數(shù)據(jù)縮減后進(jìn)行手工分析就會(huì)受到限制。 推與拉技術(shù)存儲(chǔ)系統(tǒng)從事件發(fā)生器（網(wǎng)絡(luò)引擎、主機(jī)代理）和其他部件中提取數(shù)據(jù)有兩種方案：推(PUSH)和拉(PULL)。這樣做能夠給出相同的檢測(cè)結(jié)果，雖然會(huì)對(duì)實(shí)時(shí)響應(yīng)能力有些影響，但卻能夠掩蓋檢測(cè)器的檢測(cè)內(nèi)容。分析系統(tǒng)可以采用兩種類型的檢測(cè)技術(shù)，基于行為的檢測(cè)和基于知識(shí)的檢測(cè)。概率統(tǒng)計(jì)方法　　概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。則這個(gè)特征值可以用所有Si值的加權(quán)平方和來(lái)表示：　　M=a1s12+ a2s22+…+ ansn2，ai0，其中ai表示每一特征的權(quán)重。與統(tǒng)計(jì)理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系，并且能自動(dòng)學(xué)習(xí)并更新。 基于知識(shí)的檢測(cè)基于知識(shí)的檢測(cè)指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。將有關(guān)入侵的知識(shí)轉(zhuǎn)化成ifthen結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if 部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。這種方法的缺陷也和所有基于知識(shí)的檢測(cè)方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)。然后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這些攻擊。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。如果在狀態(tài) S4時(shí)又有登錄失敗，而且這時(shí)的時(shí)間 T2T160 秒，則系統(tǒng)轉(zhuǎn)入狀態(tài) S5，即為入侵狀態(tài)，系統(tǒng)發(fā)出警報(bào)并作