【正文】 下面是這種方法的一個(gè)簡單示例，表示在一分鐘內(nèi)如果登錄失敗的次數(shù)超過4次，系統(tǒng)便發(fā)出警報(bào)。但是，狀態(tài)轉(zhuǎn)換是針對事件序列分析，所以不善于分析過分復(fù)雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換分析最早由 提出，即將狀態(tài)轉(zhuǎn)換圖應(yīng)用于入侵行為的分析。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的次數(shù)減少，攻擊腳本不斷地得到更新。然后通過一個(gè)稱為預(yù)測器的程序模塊根據(jù)當(dāng)前行為模式，產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳本子集，并將它傳給決策器。模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。但是，攻擊方法的語義描述不是被轉(zhuǎn)化為檢測規(guī)則，而是在審計(jì)紀(jì)錄中能直接找到的信息形式。其中的ifthen結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計(jì)事件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。基于知識的檢測方法大致有以下3種。基于知識的檢測也被稱為違規(guī)檢測(Misuse Detection)。缺點(diǎn)在于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定，命令窗口w的大小也難以選取。用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的：當(dāng)前命令和剛過去的w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個(gè)命令時(shí)所包含的過去命令集的大小。閾值太低則漏檢率提高，閾值太高則誤檢率提高。dσ就認(rèn)為出現(xiàn)異常。這個(gè)特征值是所有有悖于用戶特征的異常程度值的函數(shù)。用戶特征表需要根據(jù)審計(jì)記錄情況不斷地加以更新。其次由于統(tǒng)計(jì)簡表要不斷更新，入侵者如果知道某系統(tǒng)在檢測器的監(jiān)視之下，他們能慢慢地訓(xùn)練檢測系統(tǒng)，以至于最初認(rèn)為是異常的行為，經(jīng)一段時(shí)間訓(xùn)練后也認(rèn)為是正常的了?；谛袨榈臋z測與系統(tǒng)相對無關(guān)，通用性較強(qiáng)。由于分析系統(tǒng)和存儲(chǔ)系統(tǒng)是利用統(tǒng)一的網(wǎng)絡(luò)接口交換數(shù)據(jù)，所以一個(gè)ODIDS中可能有多個(gè)分析系統(tǒng)，每個(gè)分析系統(tǒng)采用的檢測方法也不一定相同。總的說來，推對于入侵檢測系統(tǒng)來說是一種好的結(jié)構(gòu)。低層次的攻擊者不太可能有這樣的耐心，但對于高層次的攻擊者幾乎肯定會(huì)這樣做，例如高級經(jīng)濟(jì)間諜。拉技術(shù)是存儲(chǔ)系統(tǒng)在需要數(shù)據(jù)時(shí)查詢各事件發(fā)生器，一起獲得最新的數(shù)據(jù)。長期記錄數(shù)據(jù)庫主要支持產(chǎn)生報(bào)告而不是交互式的查詢，還能幫助可能漏掉的事件進(jìn)行檢測。同時(shí)原始數(shù)據(jù)的增加會(huì)延長數(shù)據(jù)庫檢索的時(shí)間，降低數(shù)據(jù)分析速度。原始數(shù)據(jù)數(shù)據(jù)庫中存儲(chǔ)很短一段時(shí)間內(nèi)的數(shù)據(jù)包，這個(gè)時(shí)間通常是3天到一周之間。但是我們無法悠久保存這樣的高保真數(shù)據(jù)，就需要對數(shù)據(jù)庫進(jìn)行一次或多次縮減。由于入侵檢測系統(tǒng)的規(guī)模大小直接影響到存儲(chǔ)系統(tǒng)的規(guī)模，因此不同規(guī)模的系統(tǒng)的使用的存儲(chǔ)系統(tǒng)大不相同。同時(shí)亦可以通過調(diào)節(jié)每次提交的數(shù)量來控制實(shí)時(shí)性的要求，如果系統(tǒng)硬件條件允許（有比較高的處理器速度、比較大的內(nèi)存、高速的外部存儲(chǔ)設(shè)備）可以將批量提交的數(shù)量減小，甚至可以是減小到每個(gè)數(shù)據(jù)就提交一次，以得到更好的實(shí)時(shí)性。如果分批提交，你就可以獲得更高的性能，但這樣延長了系統(tǒng)的等待時(shí)間。我們選擇的一種數(shù)據(jù)載入方法。圖4－1 存儲(chǔ)系統(tǒng)框圖 數(shù)據(jù)載入 使用數(shù)據(jù)庫系統(tǒng)，事件數(shù)據(jù)進(jìn)入數(shù)據(jù)庫時(shí)有如下兩種選擇：n 把原始數(shù)據(jù)直接寫入數(shù)據(jù)庫系統(tǒng)中進(jìn)行存儲(chǔ)，并在數(shù)據(jù)庫空中完成過濾分析。構(gòu)造專用的存儲(chǔ)系統(tǒng)可以提高反應(yīng)速度，但那是一個(gè)艱難的過程。3. 由于主機(jī)網(wǎng)絡(luò)接口檢測器是直接位于主機(jī)上的，因此交換網(wǎng)絡(luò)也不成問題。這樣一個(gè)有利的位置決定了它只對目的地址為該服務(wù)器的數(shù)據(jù)包進(jìn)行監(jiān)測。3. 交換網(wǎng)絡(luò)。不過這種網(wǎng)絡(luò)傳感器也有局限性，因此在某些情況下也需要其它類型的傳感器：1. 快速網(wǎng)絡(luò)。網(wǎng)絡(luò)接口防護(hù)不僅僅是檢測系統(tǒng)的一部分，他也可以是一個(gè)獨(dú)立的安全保護(hù)工具。 主機(jī)網(wǎng)絡(luò)接口檢測：主機(jī)網(wǎng)絡(luò)接口檢測是一種比較新的防護(hù)技術(shù)，類似于個(gè)人防火墻(Personal Firewar)。統(tǒng)計(jì)表明％70的攻擊來自于內(nèi)部，所以對內(nèi)部員工行為的檢測也是很重要的一個(gè)任務(wù)。 文件監(jiān)測：文件監(jiān)測中的文件完整性檢測也屬于傳統(tǒng)項(xiàng)目，在UNIX平臺(tái)上早有廣泛的應(yīng)用。當(dāng)時(shí)的系統(tǒng)管理員們通常是一行一行地手工分析程序日志，于是出現(xiàn)了一些幫助系統(tǒng)管理員分析這些程序日志的小程序，這便是最早期的入侵檢測系統(tǒng)了。 代理結(jié)構(gòu)從以上可以看出，主機(jī)代理的數(shù)據(jù)來源比網(wǎng)絡(luò)引擎復(fù)雜得多，由于數(shù)據(jù)源的不同，分析方法也各不一樣。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。 數(shù)據(jù)來源 主機(jī)代理的數(shù)據(jù)來源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來源那樣單一，它可以在系統(tǒng)所能夠訪問的有必要的所有地方獲得數(shù)據(jù)來分析。因?yàn)榭刂婆_(tái)和網(wǎng)絡(luò)代理可能是分布在網(wǎng)絡(luò)的的不同主機(jī)上，因此需要網(wǎng)絡(luò)代理有一個(gè)代碼移動(dòng)和動(dòng)態(tài)更新的機(jī)制。動(dòng)態(tài)添加數(shù)據(jù)分析功能是通過添加新的動(dòng)態(tài)連接庫中的數(shù)據(jù)分析函數(shù)來實(shí)現(xiàn)的。當(dāng)前發(fā)展的趨勢是更高級的統(tǒng)計(jì)分析方法、基于專家系統(tǒng)的分析方法和機(jī)于神經(jīng)網(wǎng)絡(luò)的分析方法等。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個(gè)開放的分布的平臺(tái)使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。一般情況下，數(shù)據(jù)分析盡可能地放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能地靠近葉子結(jié)點(diǎn)，因?yàn)闃涓糠终{(diào)用次數(shù)最多，過多的數(shù)據(jù)分析函數(shù)聚集在此會(huì)嚴(yán)重影響系統(tǒng)的性能。該鏈表的每一結(jié)點(diǎn)包含可配置的數(shù)據(jù)，如是否啟動(dòng)該檢測函數(shù)等。協(xié)議代號是為了提高分析速度用的編號。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。高級的靜態(tài)鏈接庫和應(yīng)用程序編譯在一起，他使用低級動(dòng)態(tài)鏈接庫提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口。Wincap有三部分組成：一個(gè)數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序，一個(gè)低級的動(dòng)態(tài)連接庫和一個(gè)高級的靜態(tài)連接庫。低效率的過濾程序會(huì)導(dǎo)致數(shù)據(jù)包丟失、分析部分來不及處理等。 網(wǎng)絡(luò)引擎設(shè)計(jì) 網(wǎng)絡(luò)引擎一般可分為以下幾部分：數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析、引擎管理和安全通信。于是系統(tǒng)跳過第25到34字節(jié)直接讀取第35字節(jié)的端口號：80。根據(jù)協(xié)議規(guī)范可以判斷這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包是IP包。他的高效使得匹配的計(jì)算量大幅度減小。他對該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解。對攻擊特征微小的變形都將使得檢測失敗。7〕 直到每一個(gè)攻擊特征匹配完畢，對給數(shù)據(jù)包的匹配完畢。單純使用模式匹配的方法有很大的弊端，在網(wǎng)絡(luò)引擎中我們使用協(xié)議分析和模式匹配結(jié)合的方法來分析網(wǎng)絡(luò)數(shù)據(jù)包。他不單單是一個(gè)數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ?，也具有一定的分析能力。采用分接器的網(wǎng)絡(luò)結(jié)構(gòu)如下：圖23 分接器部署優(yōu)點(diǎn)：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。2．把入侵檢測系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口?？山鉀Q的辦法有：1．交換機(jī)的核心芯片上一般有一個(gè)用于調(diào)試的端口（span port），任何其他端口的進(jìn)出信息都可從此得到。還必須對檢測器進(jìn)行測試以保證它能從交換位置可靠地發(fā)送數(shù)據(jù)。網(wǎng)絡(luò)在不斷地升級到交換VLAN環(huán)境中。如果你們機(jī)構(gòu)使用的是昂貴的入侵檢測系統(tǒng)解決方案，那么就不值得用這種檢測器放置方法，如果你使用內(nèi)外雙重檢測器，那就用防火墻內(nèi)部的監(jiān)測器做為緊急報(bào)警的裝置。我在防火墻內(nèi)外多防止了檢測器。也許將檢測器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的“幼稚腳本”的攻擊，使檢測器不用將大部分的注意力分散在這類攻擊上。雖然放在防火墻外的檢測器無法檢測到攻擊，但那種位置仍然是對攻擊進(jìn)行檢測的最佳位置。1. 放在防火墻之外入侵檢測器通常放置在防火墻外的DMZ中 ( Demilitarized Zone, 非軍事區(qū) )。一個(gè)比較典型的小型網(wǎng)絡(luò)上的ODIDS部署圖為:圖2－2 ODIDS典型部署圖對于主機(jī)型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測的主機(jī)上。 控制臺(tái)是整個(gè)入侵檢測系統(tǒng)和用戶交互的界面。 響應(yīng)系統(tǒng)是對確認(rèn)的入侵行為采取相應(yīng)措施的子系統(tǒng)。分析系統(tǒng)注重于高層次的分析方法，如基于統(tǒng)計(jì)的分析方法、基于神經(jīng)網(wǎng)絡(luò)的分析方法等。儲(chǔ)存的原始數(shù)據(jù)在對發(fā)現(xiàn)入侵者進(jìn)行法律制裁時(shí)提供確鑿的證據(jù)。網(wǎng)絡(luò)引擎截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包，并從其中尋找可能的入侵信息或其他敏感信息?？傊?，部件能夠完成某一特定的功能，并且是ODIDS的一部分。即：對于攻擊事件的錯(cuò)報(bào)與漏報(bào)能夠控制在一定范圍內(nèi)。安全性與可用性要求：入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及安全隱患。一個(gè)已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí)，可以通過某種機(jī)制在無需對入侵檢測系統(tǒng)本身進(jìn)行改動(dòng)的情況下，使系統(tǒng)能夠檢測到新的攻擊行為。 主要功能要求一個(gè)成功的入侵檢測系統(tǒng)至少要滿足以下五個(gè)主要功能要求：實(shí)時(shí)性要求：如果攻擊或者攻擊的企圖能夠盡快的被發(fā)現(xiàn)，這就使得有可能查找出攻擊者的位置，阻止進(jìn)一步的攻擊活動(dòng)，有可能把破壞控制在最小限度，并能夠記錄下攻擊者攻擊過程的全部網(wǎng)絡(luò)活動(dòng)，并可作為證據(jù)回放。不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作：入侵檢測不是安全的終極武器，一個(gè)安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品。檢測分析方法單一：攻擊方法的越來越復(fù)雜，單一的基于模式匹配或統(tǒng)計(jì)的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。現(xiàn)在很多網(wǎng)絡(luò)都是50M、100M甚至千兆網(wǎng)絡(luò)，網(wǎng)絡(luò)速度的發(fā)展遠(yuǎn)遠(yuǎn)超過了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。各種入侵檢測系統(tǒng)各自為陣，系統(tǒng)之間的互操作性很差，因此各廠商都在按照CIDF進(jìn)行信息交換的標(biāo)準(zhǔn)化工作。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。他也對于各部件之間的信息傳遞格式、通信方法和標(biāo)準(zhǔn)API進(jìn)行了標(biāo)準(zhǔn)化?；诋惓０l(fā)現(xiàn)的檢測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）發(fā)現(xiàn)更廣泛的、甚至未知的攻擊分法。當(dāng)有證據(jù)表明某種特定的攻擊模型發(fā)生時(shí)，系統(tǒng)應(yīng)當(dāng)收集其他證據(jù)來證實(shí)或者否定攻擊的真實(shí)，以盡可能的避免錯(cuò)報(bào)。4．基于模型推理的攻擊檢測技術(shù)攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測出惡意的攻擊企圖，盡管攻擊者并不一定都是惡意的。所謂專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)則的推理系統(tǒng)。SRI的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行攻擊檢測。系統(tǒng)應(yīng)當(dāng)能夠避免“肅反擴(kuò)大／縮小化”的問題。對攻擊的實(shí)時(shí)檢測系統(tǒng)的工作原理是基于對用戶歷史行為的建模，以及在早期的證據(jù)或模型的基礎(chǔ)之上。此方法非常類似殺毒軟件。對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。比如基于主機(jī)的入侵檢測系統(tǒng)使用系統(tǒng)日志作為檢測依據(jù)，因此它們在確定攻擊是否已經(jīng)取得成功時(shí)與基于網(wǎng)絡(luò)的檢測系統(tǒng)相比具有更大的準(zhǔn)確性。許多基于IP的拒絕服務(wù)攻擊和碎片攻擊，只能通過查看它們通過網(wǎng)絡(luò)傳輸時(shí)的包首標(biāo)才能識別。 入侵檢測系統(tǒng)的發(fā)展趨勢基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)都有各自的優(yōu)勢，兩者相互補(bǔ)充。許多黑客都熟知審記記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測入侵。但是，如果在一個(gè)交換環(huán)境下，就需要特殊的配置。因此可以做得比較安全?；诰W(wǎng)絡(luò)的檢測有以下優(yōu)點(diǎn)：l 偵測速度快 基于網(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。它的攻擊辯識模塊通常使用四種常用技術(shù)來識別攻擊標(biāo)志：l 模式、表達(dá)式或字節(jié)匹配l 頻率或穿越閥值l 次要事件的相關(guān)性l 統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測一旦檢測到了攻擊行為，IDS的響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對攻擊采取相應(yīng)的反應(yīng)?；谥鳈C(jī)的IDS沒有這方面的限制。業(yè)務(wù)鏡像和交換機(jī)上的管理端口對此有幫助，但這些技術(shù)有時(shí)并不適用。l 對網(wǎng)絡(luò)流量不敏感 用代理的方式一般不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視。l 較少的主機(jī) 基于主機(jī)的方法有時(shí)不需要增加專門的硬件平臺(tái)。系統(tǒng)能夠檢測到那些欲重寫關(guān)鍵系統(tǒng)文件或者安裝特洛伊木馬或后門的嘗試并將它們中斷。操作系統(tǒng)記錄了任何有關(guān)用戶帳號的添加、刪除、更改的情況?；谥鳈C(jī)的IDS監(jiān)視用戶和文件訪問活動(dòng)，包括文件訪問、改變文件權(quán)限、試圖建立新的可執(zhí)行文件并且／或者試圖訪問特許服務(wù)。這些優(yōu)點(diǎn)包括： l 性能價(jià)格比高 在主機(jī)數(shù)量較少的情況下，這種方法的性能價(jià)格比可能更高。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。當(dāng)有文件發(fā)生變化時(shí)，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。由于入侵在當(dāng)時(shí)是相當(dāng)少見的，在對攻擊的事后分析就可以防止今后的攻擊。由于入侵檢測和響應(yīng)密切相關(guān)，而且現(xiàn)在沒有獨(dú)立的響應(yīng)系統(tǒng)，所以決大多數(shù)的入侵檢測系統(tǒng)都具有響應(yīng)功能。 P2DR：動(dòng)態(tài)安全模型針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求，“可適應(yīng)網(wǎng)絡(luò)安全模型”和“動(dòng)態(tài)安全模型”應(yīng)運(yùn)而生[5]。防火墻只實(shí)現(xiàn)了粗粒度的訪問控制，且不能與企業(yè)內(nèi)部使用的其它安全機(jī)制（如訪問控制）集成使用，這樣，企業(yè)就必須為內(nèi)部的身份驗(yàn)證和訪問控制管理維護(hù)單獨(dú)的數(shù)據(jù)庫。根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下。.防火墻難于管理和配置，易造成安全漏洞。但也有其明顯的局限性，諸如：.防火墻難于防內(nèi)。當(dāng)發(fā)現(xiàn)問題之后就需要迅速做出響應(yīng)，比如，立即修補(bǔ)大壩的漏洞并進(jìn)行加固；如果到達(dá)警戒水位，大壩就需要有人24小時(shí)監(jiān)守，還可能需要泄洪。比如，采用B級操作系統(tǒng)和數(shù)據(jù)庫、在網(wǎng)絡(luò)出口配置防火墻、在信息傳輸和存儲(chǔ)中采用加密技術(shù)、使用集中的身份認(rèn)證產(chǎn)品等。 TCSEC難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境在信息安全的發(fā)展史上有一個(gè)里程碑，這就是1985年美國國防部（DoD）國家計(jì)算機(jī)安全中心（NCSC）發(fā)布的可信計(jì)算機(jī)安全評估準(zhǔn)則（TCSEC）[1]。因此安全問題很容易表面上受到重視，而實(shí)際上沒有真正得到重視。針對網(wǎng)絡(luò)吞吐量、主機(jī)的運(yùn)算速度、數(shù)據(jù)庫的TPC指標(biāo)等這類性能問題，用戶可以根據(jù)自己的業(yè)務(wù)要求、資金條件等方面考慮取舍。在經(jīng)濟(jì)領(lǐng)域中它可以及時(shí)發(fā)現(xiàn)、阻攔入侵行為，保護(hù)保護(hù)企業(yè)來自不滿員工、黑客和競爭對手威脅，保證企業(yè)信息信息平臺(tái)的正常運(yùn)轉(zhuǎn)。目前入侵檢測品主要廠商有ISS公司（RealSecure）、