【正文】 其中豎線代表狀態(tài)轉(zhuǎn)換，如果在狀態(tài) S1發(fā)生登錄失敗，則產(chǎn)生一個(gè)標(biāo)志變量，并存儲(chǔ)事件發(fā)生時(shí)間 T1，同時(shí)轉(zhuǎn)入狀態(tài) S2。雖然很復(fù)雜的入侵特征能用Petri網(wǎng)表達(dá)得很簡(jiǎn)單，但是對(duì)原始數(shù)據(jù)匹配時(shí)的計(jì)算量卻會(huì)很大?！　etri 網(wǎng)用于入侵行為分析是一種類似于狀態(tài)轉(zhuǎn)換圖分析的方法。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。但是創(chuàng)建入侵檢測(cè)模型的工作量比別的方法要大，并且在系統(tǒng)實(shí)現(xiàn)時(shí)決策器如何有效地翻譯攻擊腳本也是個(gè)問(wèn)題?！　∧Ｐ屯评矸椒ǖ膬?yōu)越性有：對(duì)不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時(shí)決策器使得攻擊腳本可以與審計(jì)記錄的上下文無(wú)關(guān)。初始攻擊腳本子集的假設(shè)應(yīng)滿足：易于在審計(jì)記錄中識(shí)別，并且出現(xiàn)頻率很高。決策器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計(jì)記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計(jì)記錄格式。檢測(cè)時(shí)先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。其中有關(guān)攻擊者行為的知識(shí)被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。另外，由于對(duì)不同操作系統(tǒng)平臺(tái)的具體攻擊方法可能不同，以及不同平臺(tái)的審計(jì)方式也可能不同，所以對(duì)特征分析檢測(cè)系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。這樣就不像專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測(cè)效率。像專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識(shí)。在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨一下問(wèn)題：1. 全面性問(wèn)題，即難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識(shí)；2. 效率問(wèn)題，即所需處理的數(shù)據(jù)量過(guò)大，而且在大型系統(tǒng)上，如何獲得實(shí)時(shí)連續(xù)的審計(jì)數(shù)據(jù)也是個(gè)問(wèn)題。當(dāng)其中某個(gè)或某部分條件滿足時(shí)，系統(tǒng)就判斷為入侵行為發(fā)生。專家系統(tǒng)　　專家系統(tǒng)是基于知識(shí)的檢測(cè)中運(yùn)用最多的一種方法。并且檢測(cè)范圍受已知知識(shí)的局限，尤其是難以檢測(cè)出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因?yàn)檫@些入侵行為并沒(méi)有利用系統(tǒng)脆弱性。這種方法由于依據(jù)具體特征庫(kù)進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高，并且因?yàn)闄z測(cè)結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通過(guò)分析入侵過(guò)程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。窗口太小，則網(wǎng)絡(luò)輸出不好，窗口太大，則網(wǎng)絡(luò)會(huì)因?yàn)榇罅繜o(wú)關(guān)數(shù)據(jù)而降低效率。神經(jīng)網(wǎng)絡(luò)方法的優(yōu)點(diǎn)在于能更好地處理原始數(shù)據(jù)的隨機(jī)特性，即不需要對(duì)這些數(shù)據(jù)作任何統(tǒng)計(jì)假設(shè)，并且有較好的抗干擾能力。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測(cè)錯(cuò)誤率在一定程度上反映了用戶行為的異常程度。實(shí)驗(yàn)表明UNIX系統(tǒng)管理員的行為幾乎全是可以預(yù)測(cè)的，對(duì)于一般用戶，不可預(yù)測(cè)的行為也只占了很少的一部分。神經(jīng)網(wǎng)絡(luò)方法利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元(命令)訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測(cè)出輸出。其次，定義是否入侵的判斷閾值也比較困難。這種方法的優(yōu)越性在于能應(yīng)用成熟的概率統(tǒng)計(jì)理論?！　∪绻x用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則，則　　標(biāo)準(zhǔn)偏差：σ＝√M/(n1) μ2其中均值 μ=M/n　　如果某S值超出了μ177。如果假設(shè)S1，S2，…，Sn 分別是用于描述特征的變量M1，M2，…，Mn 的異常程度值，Si值越大說(shuō)明異常程度越大。在SRI/CSL的入侵檢測(cè)專家系統(tǒng)(IDES)中給出了一個(gè)特征簡(jiǎn)表的結(jié)構(gòu)：變量名，行為描述，例外情況，資源使用，時(shí)間周期，變量類型，門限值，主體，客體，值其中的變量名、主體、客體唯一確定了每一個(gè)特征簡(jiǎn)表，特征值由系統(tǒng)根據(jù)審計(jì)數(shù)據(jù)周期性地產(chǎn)生。用于描述特征的變量類型有：1)操作密度：度量操作執(zhí)行的速率，常用于檢測(cè)通過(guò)長(zhǎng)時(shí)間平均覺(jué)察不到的異常行為；2)審計(jì)記錄分布：度量在最新紀(jì)錄中所有操作類型的分布；3)范疇尺度：度量在一定動(dòng)作范疇內(nèi)特定操作的分布情況；4)數(shù)值尺度：度量那些產(chǎn)生數(shù)值結(jié)果的操作，如CPU使用量，I/O使用量。首先，檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶都建立一個(gè)用戶特征表，通過(guò)比較當(dāng)前特征與已存儲(chǔ)定型的以前特征，從而判斷是否是異常行為?；谛袨榈臋z測(cè)方法主要有以下兩種。尤其在用戶數(shù)目眾多，或工作目的經(jīng)常改變的環(huán)境中。它甚至有可能檢測(cè)出以前未出現(xiàn)過(guò)的攻擊方法，不像基于知識(shí)的檢測(cè)那樣受已知脆弱性的限制。 基于行為的檢測(cè)基于行為的檢測(cè)指根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)，所以也被稱為異常檢測(cè)(Anomaly Detection)。即使是同一個(gè)分析系統(tǒng)中，也可以同時(shí)才用幾種檢測(cè)方法，對(duì)相同的數(shù)據(jù)使用不同的檢測(cè)方法進(jìn)行分析，對(duì)各自的檢測(cè)結(jié)果進(jìn)行比較，可以提高檢測(cè)準(zhǔn)確度，也可以完善不同的檢測(cè)方法。 分析系統(tǒng)分析系統(tǒng)在整個(gè)ODIDS系統(tǒng)中處于二級(jí)分析結(jié)構(gòu)中，它從存儲(chǔ)系統(tǒng)中的數(shù)據(jù)進(jìn)行進(jìn)一步的分析。但拉結(jié)構(gòu)有一個(gè)很好的應(yīng)用就是隱藏檢測(cè)器。如果沒(méi)有檢測(cè)到任何事件，就用加密的空字符串進(jìn)行填充。解決這種問(wèn)題的一個(gè)簡(jiǎn)單的辦法就是以流的方式有規(guī)律地推出事件檢測(cè)信息。經(jīng)過(guò)一段時(shí)間的觀察，攻擊者就能夠判斷出哪些是檢測(cè)器所忽略的。看起來(lái)推技術(shù)可以獲得更好的實(shí)時(shí)性，但推技術(shù)也有一個(gè)嚴(yán)重的問(wèn)題。推技術(shù)是在檢測(cè)器探測(cè)到一個(gè)事件時(shí)就事件“推”給存儲(chǔ)系統(tǒng)。縮減數(shù)據(jù)格式一般只包括時(shí)間、源IP地址、目標(biāo)IP地址、源端口、目標(biāo)端口、協(xié)議標(biāo)志。 長(zhǎng)期記錄數(shù)據(jù)庫(kù)：長(zhǎng)期記錄數(shù)據(jù)庫(kù)以縮減數(shù)據(jù)的格式記錄了很長(zhǎng)一段時(shí)間內(nèi)的檢測(cè)情況。 系統(tǒng)提供兩種保存原始數(shù)據(jù)的設(shè)置方式：按時(shí)間和按存儲(chǔ)容量。但原始數(shù)據(jù)要占用大量的存儲(chǔ)器。 原始數(shù)據(jù)數(shù)據(jù)庫(kù)中還重要的一個(gè)問(wèn)題是存儲(chǔ)多少數(shù)據(jù)、原始數(shù)據(jù)要保存多長(zhǎng)時(shí)間。這個(gè)數(shù)據(jù)庫(kù)應(yīng)該建立多重索引和優(yōu)化，以便能夠進(jìn)行最有效的搜索。 對(duì)數(shù)據(jù)進(jìn)行縮減的一種有效的辦法是把數(shù)據(jù)庫(kù)分為兩個(gè)主要的存儲(chǔ)裝置：原始數(shù)據(jù)數(shù)據(jù)庫(kù)和長(zhǎng)期記錄數(shù)據(jù)庫(kù)。這時(shí)分析員就需要系統(tǒng)提供所有的數(shù)據(jù)，包括數(shù)據(jù)包頭和內(nèi)容，進(jìn)行手工分析。使用相同的接口可以維護(hù)各系統(tǒng)間數(shù)據(jù)存儲(chǔ)的一致性，便于入侵檢測(cè)系統(tǒng)間的數(shù)據(jù)交換，同時(shí)也減小設(shè)計(jì)的復(fù)雜性。采用直接載入數(shù)據(jù)庫(kù)的方法，在不同規(guī)模的入侵檢測(cè)系統(tǒng)可以使用相同的接口。為了提高檢測(cè)粒度，就可以將提交的數(shù)量適量增大。而分析部件做個(gè)層次強(qiáng)調(diào)了對(duì)事件的深層次的分析和統(tǒng)計(jì)，已發(fā)掘新的未知的攻擊方法和分布式的攻擊形式，因此實(shí)時(shí)性在這個(gè)層次中的要求是可以減小的。系統(tǒng)的實(shí)時(shí)性和檢測(cè)性能總是一對(duì)矛盾，在我們的系統(tǒng)中，為了在兩者中找到最佳結(jié)合點(diǎn)而設(shè)計(jì)了兩個(gè)分析層次。如果每個(gè)數(shù)據(jù)得到就提交一次，這樣對(duì)信息處理會(huì)提供方便但對(duì)影響系統(tǒng)的運(yùn)行性能。這樣做的影響減低了系統(tǒng)實(shí)時(shí)性的要求。第二種方法的優(yōu)點(diǎn)就是能夠得到更好的性能和靈活性，但只要任何事情發(fā)生改變就必須重新處理數(shù)據(jù)載入的問(wèn)題。n 在世界課外進(jìn)行過(guò)濾分析，在數(shù)據(jù)庫(kù)中只存放分析結(jié)果。跟據(jù)入侵檢測(cè)系統(tǒng)的規(guī)模，存儲(chǔ)系統(tǒng)也有和大的區(qū)別，它可能是一個(gè)單一的數(shù)據(jù)文件，也可能是一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)，對(duì)于大規(guī)模的入侵檢測(cè)系統(tǒng)來(lái)也有可能配置一個(gè)數(shù)據(jù)倉(cāng)庫(kù)作為其存儲(chǔ)系統(tǒng)。我們選擇現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)來(lái)建立存儲(chǔ)系統(tǒng)。第四章 存儲(chǔ)系統(tǒng)和分析系統(tǒng) 存儲(chǔ)系統(tǒng) 存儲(chǔ)系統(tǒng)把系統(tǒng)檢測(cè)到的事件記錄下來(lái)，以便于以后的分析。歸根結(jié)底，最佳的解決方案是將基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)與基于主機(jī)的入侵檢測(cè)系統(tǒng)結(jié)合起來(lái)。2. 網(wǎng)絡(luò)棧在數(shù)據(jù)包到達(dá)主機(jī)網(wǎng)絡(luò)接口檢測(cè)器之前即已將它們解密。該方式有如下優(yōu)點(diǎn)：1. 網(wǎng)絡(luò)速度不成問(wèn)題。主機(jī)網(wǎng)絡(luò)接口檢測(cè)器位于服務(wù)器上網(wǎng)絡(luò)棧的附近。在交換網(wǎng)絡(luò)中，是不可能從一個(gè)中央位置處看見(jiàn)所有網(wǎng)絡(luò)數(shù)據(jù)的。如果網(wǎng)絡(luò)數(shù)據(jù)被加密的話，網(wǎng)絡(luò)傳感器即不能起作用，原因是它無(wú)法正確地“看到”網(wǎng)絡(luò)數(shù)據(jù)。隨著網(wǎng)絡(luò)速度的加快，有時(shí)候網(wǎng)絡(luò)傳感器的工作速度可能無(wú)法跟上網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃俣?。第二，即使在不工作的時(shí)候，網(wǎng)絡(luò)傳感器也能實(shí)時(shí)地檢測(cè)攻擊。應(yīng)用網(wǎng)絡(luò)傳感器有兩大好處。比如對(duì)于斷口掃描的檢測(cè)，在網(wǎng)絡(luò)接口防護(hù)中檢測(cè)對(duì)本地主機(jī)的斷口掃描比在網(wǎng)絡(luò)引擎中檢測(cè)要容易得多。它是基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的結(jié)合。比如通過(guò)長(zhǎng)時(shí)間的統(tǒng)計(jì)，一個(gè)用戶使用“l(fā)s”命令時(shí)，帶參數(shù)的“l(fā)s al”統(tǒng)計(jì)規(guī)律為％20，而在某一次登錄使用過(guò)程中使用他的使用概率達(dá)到％80，這肯定以該引起安全管理員的注意。監(jiān)測(cè)的內(nèi)容主要是包括是否違反安全政策、是否越權(quán)使用系統(tǒng)資源。用戶行為檢測(cè)：用戶行為檢測(cè)主要是對(duì)付內(nèi)部人員的誤用和攻擊。攻擊者一般都會(huì)添加、刪除或更改一些敏感的文件獲得權(quán)限或者留下后門，所以檢測(cè)這些文件的改變可以得到攻擊的信息。不同的應(yīng)用有不同的日志，因此日志分析都是針對(duì)不同的應(yīng)用的。時(shí)至今日，日志分析也是非常有效地一種檢測(cè)方法，但是在分析技術(shù)和實(shí)時(shí)性上有了很大的提高。日志分析： 日志分析是最早出現(xiàn)的入侵檢測(cè)的方法，開(kāi)始于六、七十年代。對(duì)于不同的主機(jī)，上面運(yùn)行的應(yīng)用程序也各不相同，因此不同廠商設(shè)計(jì)的基于主機(jī)的入侵檢測(cè)系統(tǒng)的各不相同。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。3．程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。很顯然地，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。其主要來(lái)源有：1．系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。在獲取高層信息以及實(shí)現(xiàn)一些特殊功能時(shí)，如針對(duì)系統(tǒng)資源情況的審計(jì)方面具有無(wú)法替代的作用。這樣對(duì)于網(wǎng)絡(luò)上的數(shù)量眾多達(dá)到網(wǎng)絡(luò)代理的配置和添加功能模塊可以集中或自動(dòng)進(jìn)行，減輕安全管理的難度。代理管理除與各部分間交互的部分外，主要實(shí)現(xiàn)一個(gè)動(dòng)態(tài)的更新機(jī)制。對(duì)于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫(kù)中添加新的入侵特征，以增強(qiáng)現(xiàn)有模式匹配分析方法的檢測(cè)能力。這充分保證了系統(tǒng)可靠的安全服務(wù)。在我們?cè)O(shè)計(jì)的這個(gè)體系結(jié)構(gòu)時(shí)充分考慮了系統(tǒng)的開(kāi)放性，可以向系統(tǒng)中添加任何一種分析方法，也可以把多種分析方法同時(shí)運(yùn)用到系統(tǒng)中。如發(fā)現(xiàn)一個(gè)HTTP請(qǐng)求某個(gè)服務(wù)器上的“/cgibin/phf”,這很很可能是一個(gè)攻擊者正在尋找系統(tǒng)的CGI漏洞。數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心。如時(shí)間、特定的數(shù)據(jù)包到來(lái)、管理員啟動(dòng)、某種數(shù)據(jù)分析的結(jié)果、網(wǎng)絡(luò)上其他入侵檢測(cè)系統(tǒng)發(fā)送來(lái)數(shù)據(jù)等都可以觸發(fā)一個(gè)始數(shù)據(jù)分析函數(shù)的啟動(dòng)檢測(cè)。同時(shí)葉子節(jié)點(diǎn)上的協(xié)議明確，分析程序可以少做一些冗余的工作，也由此提高了系統(tǒng)的處理速度。一個(gè)協(xié)議數(shù)據(jù)可能有多個(gè)數(shù)據(jù)分析函數(shù)來(lái)處理它，這些函數(shù)的被放到一個(gè)鏈表中。圖3－3 協(xié)議樹(shù)示意圖數(shù)據(jù)分析：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關(guān)注該主機(jī)的結(jié)論。數(shù)據(jù)分析函數(shù)鏈表是包含對(duì)該協(xié)議進(jìn)行檢測(cè)的所有函數(shù)的鏈表。下級(jí)協(xié)議代號(hào)是在協(xié)議樹(shù)中其父結(jié)點(diǎn)的編號(hào)，如TCP的下級(jí)協(xié)議是IP協(xié)議。協(xié)議名稱是該協(xié)議的唯一標(biāo)志。 在該樹(shù)結(jié)構(gòu)中可以加入自定義的協(xié)議結(jié)點(diǎn)，如在HTTP協(xié)議中可以把請(qǐng)求URL列入該樹(shù)中作為一個(gè)結(jié)點(diǎn)，再將URL中不同的方法作為子節(jié)點(diǎn)，這樣可以細(xì)化分析數(shù)據(jù)，提高檢測(cè)效率。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。圖3－2 wincap結(jié)構(gòu)圖協(xié)議分析：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包。低級(jí)的動(dòng)態(tài)鏈接庫(kù)運(yùn)行在用戶層，他把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序隔離開(kāi)來(lái)，使得應(yīng)用程序可以不加修改地在不同的WINDOWS系統(tǒng)上運(yùn)行。數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運(yùn)行在用戶層的應(yīng)用程序，他在不同的WINDOWS系統(tǒng)下是不同。同時(shí)wincap是從UNIX平臺(tái)上的LIPCAP移植過(guò)來(lái)的，它們具有相同的接口，減輕了不同平臺(tái)上開(kāi)發(fā)網(wǎng)絡(luò)代理的難度。為提高效率，數(shù)據(jù)包過(guò)濾應(yīng)該在系統(tǒng)內(nèi)核里來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊的過(guò)濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過(guò)濾，判斷是否符合過(guò)濾條件。它的結(jié)構(gòu)如下：圖3－1 入侵檢測(cè)系統(tǒng)框圖監(jiān)聽(tīng)部分：網(wǎng)絡(luò)監(jiān)聽(tīng)模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將接收到達(dá)到網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來(lái)，供協(xié)議分析模塊使用?？梢钥闯觯脜f(xié)議分析可以大大減小模式匹配的計(jì)算量，提高匹配的精確度，減少誤報(bào)率。該數(shù)據(jù)包是一個(gè)HTTP協(xié)議的數(shù)據(jù)包。3〕 TCP協(xié)議在第35字節(jié)處有一個(gè)2字節(jié)的應(yīng)用層協(xié)議標(biāo)識(shí)（端口號(hào)）。2〕 IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個(gè)1字節(jié)的第四層協(xié)議標(biāo)識(shí)?；趨f(xié)議分析的入侵檢測(cè)系統(tǒng)利用這個(gè)知識(shí)開(kāi)始第一步檢測(cè)：1〕 跳過(guò)前面12個(gè)字節(jié)，讀取13字節(jié)處的2字節(jié)協(xié)議標(biāo)識(shí)：0800。即使在100M的網(wǎng)絡(luò)中，以可以充分地檢測(cè)每一個(gè)數(shù)據(jù)包。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。他對(duì)于網(wǎng)絡(luò)中傳輸?shù)膱D像或音頻流同樣進(jìn)行匹配。傳統(tǒng)的模式匹配的檢測(cè)方法的問(wèn)題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無(wú)序的隨意的字節(jié)流。例如，對(duì)于WEB服務(wù)器GET /cgibin/phfHEAD /cgibin/phfGET //cgibin/phfGET /cgibin/foobar/../phfGET /cgibin/./phfGET%00/cgibin/phfGET /%63%67%69%2d%62%69%6e/phf都是合法而且有效的。 傳統(tǒng)模式匹配方法的問(wèn)題：計(jì)算量大：對(duì)于一個(gè)特定網(wǎng)絡(luò)的每秒需要比較的最大次數(shù)為：攻擊特征字節(jié)數(shù)網(wǎng)絡(luò)數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量如果所有攻擊特征長(zhǎng)度為20字節(jié)，網(wǎng)絡(luò)數(shù)據(jù)包平均長(zhǎng)度為30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫(kù)中有4000條特征，那么，每秒比較次數(shù)為：