【導(dǎo)讀】入侵檢測(cè)技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全。保護(hù)措施后新一代的安全保障技術(shù)。他對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使。內(nèi)部用戶的未授權(quán)活動(dòng)。提供集成化的檢測(cè)、報(bào)告和響應(yīng)功能。在網(wǎng)絡(luò)引擎的實(shí)現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測(cè)速度。得網(wǎng)絡(luò)引擎具有更好的實(shí)時(shí)性能。有效地解決了未來(lái)交換式網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)無(wú)法檢測(cè)的致命弱點(diǎn)。指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。提下，學(xué)?？梢怨颊撐牡牟糠只蛉?jī)?nèi)容。除了文中特別加以標(biāo)注引用的內(nèi)。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文。中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律后果由本人。件和電子版，允許論文被查閱和借閱。涉密論文按學(xué)校規(guī)定處理。

　　

【正文】 *Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 還是不成功，再移動(dòng)一次 : GET /cgibin/./phf AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 重復(fù)比較，沒(méi)有一次匹配成功。 傳統(tǒng)模式匹配方法的問(wèn)題： 計(jì)算量大：對(duì)于一個(gè)特定網(wǎng)絡(luò)的每秒需要比較的最大次數(shù)為： 攻擊特征字節(jié)數(shù)網(wǎng)絡(luò)數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量 如 果所有攻擊特征長(zhǎng)度為 20字節(jié)，網(wǎng)絡(luò)數(shù)據(jù)包平均長(zhǎng)度為 30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫(kù)中有 4000條特征，那么，每秒比較次數(shù)為： 20 x 300 x 30,000 x 4,000 = 720,000,000,000 檢測(cè)準(zhǔn)確性：傳統(tǒng)的模式匹配只能檢測(cè)特定類(lèi)型的攻擊。對(duì)攻擊特征微小的變形都將使得檢測(cè)失敗。例如，對(duì)于 WEB 服務(wù)器 GET /cgibin/phf HEAD /cgibin/phf GET //cgibin/phf GET /cgibin/foobar/../phf GET /cgibin/./phf GET%00/cgibin/phf GET /%63%67%69%2d%62%69%6e/phf 都是合法而且有效的。但以上的匹配方法卻不能檢測(cè)。 傳統(tǒng)的模式匹配的檢測(cè)方法的問(wèn)題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無(wú)序的隨意的字節(jié)流。他對(duì)該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解。他對(duì)于網(wǎng)絡(luò)中傳輸?shù)膱D像或音頻流同樣進(jìn)行匹配?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來(lái)，可以獲得更好的效率、更精確的結(jié)果。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 21 協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié) 議的知識(shí)快速地判斷攻擊特征是否存在。他的高效使得匹配的計(jì)算量大幅度減小。即使在100M 的網(wǎng)絡(luò)中，以可以充分地檢測(cè)每一個(gè)數(shù)據(jù)包。 以下是基于協(xié)議分析的入侵檢測(cè)系統(tǒng)如何處理上面例中的數(shù)據(jù)包的： AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456 協(xié)議規(guī)范指出以太網(wǎng)絡(luò)數(shù)據(jù)包中第 13字節(jié)處包含了兩個(gè)字節(jié)的第三層協(xié)議標(biāo)識(shí)?；趨f(xié)議分析的入侵檢測(cè)系 統(tǒng)利用這個(gè)知識(shí)開(kāi)始第一步檢測(cè)： 1〕 跳過(guò)前面 12個(gè)字節(jié)，讀取 13字節(jié)處的 2字節(jié)協(xié)議標(biāo)識(shí)： 0800。根據(jù)協(xié)議規(guī)范可以判斷這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包是 IP包。 2〕 IP協(xié)議規(guī)定 IP包的第 24字節(jié)處有一個(gè) 1字節(jié)的第四層協(xié)議標(biāo)識(shí)。因此系統(tǒng)跳過(guò)的 15到 24字節(jié)直接讀取第四層協(xié)議標(biāo)識(shí)： 06，這個(gè)數(shù)據(jù)包是TCP協(xié)議。 3〕 TCP協(xié)議在第 35字節(jié)處有一個(gè) 2字節(jié)的應(yīng)用層協(xié)議標(biāo)識(shí)（端口號(hào)）。于是系統(tǒng)跳過(guò)第 25到 34字節(jié)直接讀取第 35字節(jié)的端口號(hào)： 80。該數(shù)據(jù)包是一個(gè) HTTP協(xié)議的數(shù)據(jù)包。 HTTP 協(xié)議規(guī)定第 55 字節(jié)是 URL開(kāi)始處，我們要檢測(cè)供給特征“ GET /cgibin/./phf”，因此要仔細(xì)檢測(cè)這個(gè) URL。 可以看出，利用協(xié)議分析可以大大減小模式匹配的計(jì)算量，提高匹配的精確度，減少誤報(bào)率。 網(wǎng)絡(luò)引擎設(shè)計(jì) 網(wǎng)絡(luò)引擎一般可分為以下幾部分：數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析、引擎管理和安全通信。 它的結(jié)構(gòu)如下： 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 22 圖 3－ 1 入侵檢測(cè)系統(tǒng)框圖 監(jiān)聽(tīng)部分 ：網(wǎng)絡(luò)監(jiān)聽(tīng)模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將接收到達(dá)到網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來(lái)，供協(xié)議分析模塊使用。由于效率的需要，有時(shí)要根據(jù)設(shè)置過(guò)濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定 IP，特定 MAC地址、特 定協(xié)議的數(shù)據(jù)包。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊的過(guò)濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過(guò)濾，判斷是否符合過(guò)濾條件。低效率的過(guò)濾程序會(huì)導(dǎo)致數(shù)據(jù)包丟失、分析部分來(lái)不及處理等。 為提高效率，數(shù)據(jù)包過(guò)濾應(yīng)該在系統(tǒng)內(nèi)核里來(lái)實(shí)現(xiàn)。我們采用了專(zhuān)門(mén)為數(shù)據(jù)監(jiān)聽(tīng)?wèi)?yīng)用程序設(shè)計(jì)的開(kāi)發(fā)包里 Wincap 來(lái)實(shí)現(xiàn)這模塊，開(kāi)發(fā)包中內(nèi)置的內(nèi)核層實(shí)現(xiàn)的 BDF 過(guò)濾機(jī)制和許多接口函數(shù)不但能夠提高監(jiān)聽(tīng)部分的效率，也降低了我們開(kāi)發(fā)的難度。同時(shí) wincap 是從 UNIX 平臺(tái)上的 LIPCAP 移植過(guò)來(lái)的，它們具有相同的接口，減輕了不同平臺(tái)上開(kāi) 發(fā)網(wǎng)絡(luò)代理的難度。 Wincap 有三部分組成：一個(gè)數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序，一個(gè)低級(jí)的動(dòng)態(tài)連接庫(kù)和一個(gè)高級(jí)的靜態(tài)連接庫(kù)。數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運(yùn)行在用戶層的應(yīng)用程分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 23 序，他在不同的 WINDOWS 系統(tǒng)下是不同。數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序支持BPF 過(guò)濾機(jī)制，可以靈活地設(shè)置過(guò)濾規(guī)則。低級(jí)的動(dòng)態(tài)鏈接庫(kù)運(yùn)行在用戶層，他把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序隔離開(kāi)來(lái)，使得應(yīng)用程序可以不加修改地在不同的 WINDOWS 系統(tǒng)上運(yùn)行。高級(jí)的靜態(tài)鏈接庫(kù)和應(yīng)用程序編譯在一起，他使用低級(jí)動(dòng)態(tài)鏈接庫(kù)提供 的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽(tīng)接口。 圖 3－ 2 wincap 結(jié)構(gòu)圖 協(xié)議分析 ：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類(lèi)型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹(shù)，一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹(shù)來(lái)表示（如圖 3－ 3）。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹(shù)結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。 在該樹(shù)結(jié)構(gòu)中可以加入自定義的協(xié)議結(jié)點(diǎn)，如在 HTTP 協(xié)議中可以把請(qǐng)求 URL 列入該樹(shù)中作為一個(gè)結(jié)點(diǎn)，再將 URL 中不同 的方法作為子節(jié)點(diǎn)，這樣可以細(xì)化分析數(shù)據(jù)，提高檢測(cè)效率。 樹(shù)的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息：該協(xié)議的特征、協(xié)議名稱(chēng)、協(xié)議代號(hào)，下級(jí)協(xié)議代號(hào)，協(xié)議對(duì)應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。協(xié)議名稱(chēng)是該協(xié)議的唯一標(biāo)志。協(xié)議代號(hào)是為了提高分析速度用的編號(hào)。下級(jí)協(xié)議代號(hào)是在協(xié)議樹(shù)中其父結(jié)點(diǎn)的編號(hào)，如 TCP 的下級(jí)協(xié)議是 IP 協(xié)議。協(xié)議特征是用于判定一個(gè)數(shù)據(jù)包是否為該協(xié)議的特征數(shù)據(jù) ,這是協(xié)議分析模塊判斷該數(shù)據(jù)包的協(xié)議類(lèi)型的主要依據(jù)。數(shù)據(jù)分析函數(shù)鏈表是包含對(duì)該協(xié)議進(jìn)行檢測(cè)的所有函數(shù)的鏈表。該鏈表的每一結(jié)點(diǎn)包含可配置的數(shù)據(jù)，如是否啟動(dòng)該檢測(cè)函數(shù) 等。 分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 24 圖 3－ 3 協(xié)議樹(shù)示意圖 數(shù)據(jù)分析 ：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關(guān)注該主機(jī)的結(jié)論。一個(gè)數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類(lèi)型入侵，這樣可以方便的進(jìn)行配置。一個(gè)協(xié)議數(shù)據(jù)可能有多個(gè)數(shù)據(jù)分析函數(shù)來(lái)處理它，這些函數(shù)的被放到一個(gè)鏈表中。一般情況下，數(shù)據(jù)分析盡可能地放到樹(shù)結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能地靠近葉子結(jié)點(diǎn)，因?yàn)闃?shù)根部分調(diào)用次數(shù)最多，過(guò)多的數(shù)據(jù)分析函數(shù)聚集在此會(huì)嚴(yán)重影響系統(tǒng)的性能。同時(shí)葉子節(jié)點(diǎn)上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。 數(shù)據(jù)分析函數(shù)不僅 僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個(gè)事件來(lái)觸發(fā)。如時(shí)間、特定的數(shù)據(jù)包到來(lái)、管理員啟動(dòng)、某種數(shù)據(jù)分析的結(jié)果、網(wǎng)絡(luò)上其他入侵檢測(cè)系統(tǒng)發(fā)送來(lái)數(shù)據(jù)等都可以觸發(fā)一個(gè)始數(shù)據(jù)分析函數(shù)的啟動(dòng)檢測(cè)。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個(gè)開(kāi)放的分布的平臺(tái)使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。 數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號(hào)存放在入侵特征數(shù)據(jù)庫(kù)中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫(kù)中某種特征匹配，就指出這是這種入侵行為。如發(fā)現(xiàn)一個(gè) HTTP 請(qǐng)求某個(gè)服務(wù)器上的“ /cgibin/phf” ,這很很可能是一個(gè)攻分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 25 擊者正在尋找系統(tǒng)的 CGI 漏洞。當(dāng)前發(fā)展的趨勢(shì)是更高級(jí)的統(tǒng)計(jì)分析方法、基于專(zhuān)家系統(tǒng)的分析方法和機(jī)于神經(jīng)網(wǎng)絡(luò)的分析方法等。 在我們?cè)O(shè)計(jì)的這個(gè)體系結(jié)構(gòu)時(shí)充分考慮了系統(tǒng)的開(kāi)放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時(shí)運(yùn)用到系統(tǒng)中。甚至在不關(guān)閉系統(tǒng)的狀態(tài)下向系統(tǒng)動(dòng)態(tài)地添加新的數(shù)據(jù)分析功。這充分保證了系統(tǒng)可靠的安全服務(wù)。動(dòng)態(tài)添加數(shù)據(jù)分析功能是通過(guò)添加新的動(dòng)態(tài)連接庫(kù)中的數(shù)據(jù)分析函數(shù)來(lái)實(shí)現(xiàn)的。對(duì)于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫(kù)中添加新的入侵特征，以增強(qiáng)現(xiàn)有模式 匹配分析方法的檢測(cè)能力。 引擎管理： 代理管理部分負(fù)責(zé)網(wǎng)絡(luò)引擎中各部分的協(xié)調(diào)和配置。代理管理除與各部分間交互的部分外，主要實(shí)現(xiàn)一個(gè)動(dòng)態(tài)的更新機(jī)制。因?yàn)榭刂婆_(tái)和網(wǎng)絡(luò)代理可能是分布在網(wǎng)絡(luò)的的不同主機(jī)上，因此需要網(wǎng)絡(luò)代理有一個(gè)代碼移動(dòng)和動(dòng)態(tài)更新的機(jī)制。這樣對(duì)于網(wǎng)絡(luò)上的數(shù)量眾多達(dá)到網(wǎng)絡(luò)代理的配置和添加功能模塊可以集中或自動(dòng)進(jìn)行，減輕安全管理的難度。 主機(jī)代理 基于主機(jī)的入侵檢測(cè)要依賴于特定的操作系統(tǒng)和審計(jì)跟蹤日志獲取信息，此類(lèi)系統(tǒng)的原始數(shù)據(jù)來(lái)源受到所依附具體操作系統(tǒng)平臺(tái)的限制，系統(tǒng)的實(shí)現(xiàn)主要針對(duì)某種特定的系統(tǒng) 平臺(tái)，在環(huán)境適應(yīng)性、可移植性方面問(wèn)題較多。在獲取高層信息以及實(shí)現(xiàn)一些特殊功能時(shí)，如針對(duì)系統(tǒng)資源情況的審計(jì)方面具有無(wú)法替代的作用。 數(shù)據(jù)來(lái)源 主機(jī)代理的數(shù)據(jù)來(lái)源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來(lái)源那樣單一，它可以在系統(tǒng)所能夠訪問(wèn)的有必要的所有地方獲得數(shù)據(jù)來(lái)分析。其主要來(lái)源有： 1．系統(tǒng)和網(wǎng)絡(luò)日志文件 黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。通過(guò)查看日 志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 26 類(lèi)型，每種類(lèi)型又包含不同的信息，例如記錄“用戶活動(dòng)”類(lèi)型的日志，就包含登錄、用戶 ID 改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。 2．目錄和文件中的不期望的改變 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括 修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。黑客經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。 3．程序執(zhí)行中的不期望行為 網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行 時(shí)執(zhí)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。 代理結(jié)構(gòu) 從以上可以看出，主機(jī)代理的數(shù)據(jù)來(lái)源比網(wǎng)絡(luò)引擎復(fù)雜得多，由于數(shù)據(jù)源的不同，分析方法也各不一樣。對(duì)于不同的主機(jī)，上面運(yùn)行的應(yīng)用程序也各不相同，因此不同廠商設(shè)計(jì)的基于主機(jī)的入侵檢測(cè)系統(tǒng)的各不相同。 主機(jī)代理分為日志分 析、文件檢測(cè)、主機(jī)網(wǎng)絡(luò)接口檢測(cè)、用戶行為監(jiān)測(cè)及管理模塊和安全通信。 日志分析： 日志分析是最早出現(xiàn)的入侵檢測(cè)的方法，開(kāi)始于六、七十年代。當(dāng)時(shí)的系統(tǒng)管理員們通常是一行一行地手工分析程序日志，于是出現(xiàn)了一些幫助系統(tǒng)管理員分析這些程序日志的小程序，這便是最早期的入侵檢測(cè)系統(tǒng)了。時(shí)至今日，日志分析也是非常有效地一種檢測(cè)方法，但是在分析技術(shù)和實(shí)時(shí)性上有了很大的提高。比如用日志分析方法分 布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 27 來(lái)檢測(cè) CGI 攻擊的代價(jià)是非常小的，但日志分析屬于事后分析，攻擊已經(jīng)完成了。不同的應(yīng)用有不同的日志，因此日志分析都是針對(duì)不同的應(yīng)用的。 文件監(jiān)測(cè)： 文件監(jiān)測(cè)中的文件完整性檢測(cè)也屬于傳統(tǒng)項(xiàng)目，在 UNIX平臺(tái)上早有廣泛的應(yīng)用。攻擊者一般都會(huì)添加、刪除或更改一些敏感的文件獲得權(quán)限或者留下后門(mén)，所以檢測(cè)這些文件的改變可以得到攻擊的信息。如果 WEB 服務(wù)的主頁(yè)文件被更改，幾乎可以肯定發(fā)生了攻擊。 用戶行為檢測(cè)： 用戶行為檢測(cè)主要是對(duì)付內(nèi)部人員的誤用和攻擊。統(tǒng)計(jì)表明％ 70 的攻擊來(lái)自于內(nèi)部，所以對(duì)內(nèi)部員工行為的檢測(cè)也是很重要的一個(gè)任務(wù)。監(jiān)測(cè)的內(nèi)容主要是包括是否違反安全政策、是否越權(quán)使用系統(tǒng)資源。對(duì)于用戶行為的分析也是一個(gè)監(jiān)測(cè)方面。比如通過(guò)長(zhǎng)時(shí)間的統(tǒng)計(jì)，一個(gè)用戶 使用“ ls”命令時(shí)，帶參數(shù)的“ ls al”統(tǒng)計(jì)規(guī)律為％ 20，而在某一次登錄使用過(guò)程中使用他的使用概率達(dá)到％ 80，這肯定以該引起安全管理員的注意。 主機(jī)網(wǎng)