【正文】 ?主要方法： 聚類分析、連接分析和順序分析。 ?特點 ? 安裝在被保護的網段（通常是共享網絡）中 ? 混雜模式監(jiān)聽 ? 分析網段中所有的數據包 ? 實時檢測和響應 網絡 IDS實現 01 01 01 01 01 01 01 01 收集 01 01 01 01 01 01 01 01 01 01 01 01 0101010101010 分析處理 結果 網絡 IDS優(yōu)勢 ?實時分析網絡數據，檢測網絡系統(tǒng)的非法行為； ?網絡 IDS系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資源； ?網絡 IDS系統(tǒng)是一個獨立的網絡設備，可以做到對黑客透明，因此其本身的安全性高； ?它既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后分析取證； ?通過與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。 ? 檢測系統(tǒng)在檢測過程中出現漏報的概率稱為系統(tǒng)的漏報率。 ? 模擬脆弱性主機誘惑攻擊者在其上浪費時間 ? 延緩對真正目標的攻擊 入侵檢測相關術語 ?Honeypot（蜜罐） ?Promiscuous（混雜模式） ?網卡的一種接收模式 ?在這種模式下的網卡能夠接收一切通過它的數據，而不管該數據是否是 傳給它的 入侵檢測相關術語 ?1997年， DARPA(Defense Advanced Research Projects Agency)資助成立了 CIDF(Common Intrusion Detection Framework)工作組； ?其工作目標是制定一套入侵檢測系統(tǒng)的公共框架，使得不同的 IDR(Intrusion Detection and Response Projections)組件能夠互相交換和共享信息，并允許不同的 IDR子系統(tǒng)能夠得到復用； ?CIDF將標準化的重點放在入侵檢測系統(tǒng)的不同組件之間的合作上； ?CIDF定義了四個方面的標準： Architecture；Communication； Language； API。 ?不會增加網絡中主機的負擔 網絡 IDS的劣勢 ?不適合交換環(huán)境和高速環(huán)境 ?不能處理加密數據 ?資源及處理能力局限 ?系統(tǒng)相關的脆弱性 ?入侵檢測概述 ?入侵檢測系統(tǒng)的分類及特點 ?入侵檢測系統(tǒng)結構 ?入侵檢測系統(tǒng)的關鍵技術 ?入侵檢測系統(tǒng)的外圍支撐技術 ?入侵檢測系統(tǒng)應用指南 ?入侵檢測系統(tǒng)的發(fā)展趨勢 入侵檢測系統(tǒng) CIDF組件 ? 事件產生器（ Event generators） ? 事件分析器（ Event analyzers） ? 響應單元（ Response units） ? 事件數據庫（ Event databases） ?Common Intrusion Detection Frame組件 CIDF組件 輸出：反應或事件 輸出：高級中斷事件 輸出：事件的存儲信息 輸出：原始或低級事件 輸入：原始事件源 事件產生器 響應單元 事件數據庫 事件分析器 ?入侵檢測概述 ?入侵檢測系統(tǒng)的分類及特點 ?入侵檢測系統(tǒng)結構 ?入侵檢測系統(tǒng)的關鍵技術 ?入侵檢測系統(tǒng)的外圍支撐技術 ?入侵檢測系統(tǒng)應用指南 ?入侵檢測系統(tǒng)的發(fā)展趨勢 入侵檢測系統(tǒng) 入侵檢測系統(tǒng)關鍵技術 ?數據檢測技術 ?數據分析技術 ?數據采集技術 數據采集技術 ? 高速網絡線速采集 ? Dedicated NIC Driver ? DMAbased zero copy ? 包俘獲 ? 包俘獲庫 Libcap ? windowsNT下 Gobber、 Ethdump和 Ethload ? UNIX下 CSPF、 BPF ? 基于流的包俘獲 ? 主機信息采集 ? 應用程序日志 ? 審計日志 ? 網絡端口的連接狀況 ? 系統(tǒng)文件 ?基于誤用的檢測方法 ?基于異常的檢測方法 數據檢測技術 ? 運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。 基于異常的檢測方法 基于數據挖掘技術的異常檢測 基于異常的檢測方法