【正文】 處理并做出入侵可能性的判斷。統(tǒng)計(jì)分析的優(yōu)點(diǎn)：有成熟的概率統(tǒng)計(jì)理論支持、維護(hù)方便，不需要象誤用檢測(cè)系統(tǒng)那樣不斷地對(duì)規(guī)則庫進(jìn)行更新和維護(hù)等。常用的異常檢測(cè)技術(shù)有： 最早的異常檢測(cè)系統(tǒng)采用的是統(tǒng)計(jì)分析技術(shù)。度量，就是指系統(tǒng)或用戶行為在特定方面的衡量標(biāo)準(zhǔn)。異常檢測(cè)的關(guān)鍵問題在于正常使用模式的建立，以及如何利用該模式對(duì)當(dāng)前系統(tǒng)或用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。另外，因?yàn)樯婕傲吮容^高層次的抽象，有希望把它的知識(shí)庫移植到不同的機(jī)器、網(wǎng)絡(luò)和應(yīng)用的入侵檢測(cè)上。而它潛在的一個(gè)弱點(diǎn)是太拘泥于預(yù)先定義的狀態(tài)遷移序列。狀態(tài)遷移圖用于入侵檢測(cè)時(shí)，表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動(dòng)。專家系統(tǒng)方法存在一些實(shí)際問題：處理海量數(shù)據(jù)時(shí)存在效率問題，這是由于專家系統(tǒng)的推理和決策模塊通常使用解釋型語言來實(shí)現(xiàn)，所以執(zhí)行速度比編譯型語言慢；專家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能；規(guī)則庫維護(hù)非常艱巨，更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫中其他規(guī)則的影響等等。該技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)來自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析。它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式串進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。誤用檢測(cè)的缺陷在于只能檢測(cè)已知的攻擊模式。下面分別介紹這兩種入侵檢測(cè)技術(shù)。常見的解碼工具有：Crack、LophtCrack等。常見的網(wǎng)絡(luò)監(jiān)聽工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。常見的探測(cè)掃描程序有：SATAN、NTScan、X_Scan、Nessus等。另外通過掃描還可以探測(cè)到系統(tǒng)的漏洞等信息。下面簡(jiǎn)單介紹幾種主要的攻擊類型。例如，廣泛使用的Windows操作系統(tǒng)，幾乎每隔幾個(gè)月都要出一定數(shù)量的安全補(bǔ)丁，就是因?yàn)橄到y(tǒng)存在很多安全隱患。雖然現(xiàn)在已經(jīng)充分意識(shí)到了這一點(diǎn)，但是由于TCP/IP協(xié)議已經(jīng)廣泛使用，因此暫時(shí)還無法被完全代替。（5）設(shè)計(jì)的缺陷。在廣播式的局域網(wǎng)上，將網(wǎng)卡配置成”混雜”模式，就可以竊聽到該局域網(wǎng)的所有數(shù)據(jù)包。（4）信息泄漏。大部分人為了輸入口令的時(shí)候方便簡(jiǎn)單，多數(shù)都使用自己或家人的名字、生日、門牌號(hào)、電話號(hào)碼等作為口令。這類常見的漏洞有：系統(tǒng)管理員配置不恰當(dāng)、系統(tǒng)本身存在后門等。（2）系統(tǒng)配置不當(dāng)?？梢圆豢鋸埖恼f，幾乎每個(gè)互聯(lián)網(wǎng)上的軟件都或多或少的存在一些安全漏洞。導(dǎo)致網(wǎng)絡(luò)不安全的主要因素可以歸結(jié)為下面幾點(diǎn)：（1）軟件的Bug。也就是網(wǎng)絡(luò)管理的可控性，包括網(wǎng)絡(luò)運(yùn)行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網(wǎng)絡(luò)用戶的行為及信息的傳播范圍。用戶不能否認(rèn)消息或文件的來源地，也不能否認(rèn)接受了信息或文件。完整性是對(duì)信息的準(zhǔn)確性和可靠性的評(píng)價(jià)指標(biāo)。（3）網(wǎng)絡(luò)信息的完整性。（2）網(wǎng)絡(luò)信息的保密性。從防衛(wèi)者的角度來看，網(wǎng)絡(luò)安全的目標(biāo)可以歸結(jié)為以下幾個(gè)方面 ：（1）網(wǎng)絡(luò)服務(wù)的可用性。所以說研究基于協(xié)議分析的入侵檢測(cè)技術(shù)具有很強(qiáng)的現(xiàn)實(shí)意義。適應(yīng)高速網(wǎng)絡(luò)的環(huán)境，改進(jìn)檢測(cè)算法以提高運(yùn)行速度和效率是解決該問題的一個(gè)途徑。這種逐字節(jié)匹配方法具有計(jì)算負(fù)載大及探測(cè)不夠靈活兩個(gè)最根本的缺陷。從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始與攻擊特征字符串比較。在國內(nèi)，隨著上網(wǎng)關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品；但目前我國的入侵檢測(cè)技術(shù)還不夠成熟，處于發(fā)展和跟蹤國外技術(shù)的階段，所以對(duì)入侵檢測(cè)系統(tǒng)的研究非常重要。Intrusion Detection System（簡(jiǎn)稱IDS）作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 程序設(shè)計(jì)的目的在目前的計(jì)算機(jī)安全狀態(tài)下，基于防火墻、加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測(cè)技術(shù)。另外，這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵，而不能主動(dòng)檢測(cè)和跟蹤入侵。傳統(tǒng)的身份認(rèn)證技術(shù)，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊手段。這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作用，然而它們也存在不少缺陷。伴隨著網(wǎng)絡(luò)的發(fā)展，各種網(wǎng)絡(luò)安全技術(shù)也隨之發(fā)展起來。網(wǎng)絡(luò)黑客可以輕松的取走你的機(jī)密文件，竊取你的銀行存款，破壞你的企業(yè)帳目，公布你的隱私信函，篡改、干擾和毀壞你的數(shù)據(jù)庫，甚至直接破壞你的磁盤或計(jì)算機(jī)，使你的網(wǎng)絡(luò)癱瘓或者崩潰。網(wǎng)絡(luò)使得信息的獲取、傳遞、存儲(chǔ)、處理和利用變得更加有效、迅速，網(wǎng)絡(luò)帶給人們的便利比比皆是。關(guān)鍵詞： 入侵檢測(cè)，協(xié)議分析，PANIDS第一章 緒論 入侵檢測(cè)技術(shù)的背景隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)通信已經(jīng)滲透到社會(huì)經(jīng)濟(jì)、文化和科學(xué)的各個(gè)領(lǐng)域；對(duì)人類社會(huì)的進(jìn)步和發(fā)展起著舉足輕重的作用，它正影響和改變著人們工作、學(xué)習(xí)和生活的方式。傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般都采用模式匹配技術(shù)，但由于技術(shù)本身的特點(diǎn)，使其具有計(jì)算量大、檢測(cè)效率低等缺點(diǎn)，而基于協(xié)議分析的檢測(cè)技術(shù)較好的解決了這些問題，其運(yùn)用協(xié)議的規(guī)則性及整個(gè)會(huì)話過程的上下文相關(guān)性，不僅提高了入侵檢測(cè)系統(tǒng)的速度，而且減少了漏報(bào)和誤報(bào)率。如果單純依靠這些技術(shù)，仍然難以保證網(wǎng)絡(luò)的安全性。因此，網(wǎng)絡(luò)安全就顯得相當(dāng)重要，隨之產(chǎn)生的各種網(wǎng)絡(luò)安全技術(shù)也得到了不斷地發(fā)展。針對(duì)于入侵行為,現(xiàn)代之中有著入侵檢測(cè)技術(shù),本文對(duì)于入侵檢測(cè)技術(shù)的使用進(jìn)行了分析,希望為相關(guān)人員帶來相關(guān)思考。4結(jié)語在現(xiàn)代信息技術(shù)得到發(fā)展的今天,網(wǎng)絡(luò)信息管理已經(jīng)成為了現(xiàn)代企業(yè)非常重要的組成部分。很多行為都是通過漏洞來進(jìn)行,所以誤用檢測(cè)可以準(zhǔn)確的判斷出相應(yīng)入侵行為,不僅預(yù)防了入侵行為,還可以對(duì)于其他入侵行為進(jìn)行警示作用。(2)誤用檢測(cè),其應(yīng)用前提便是所有的入侵行為進(jìn)行識(shí)別并且進(jìn)行標(biāo)記。所以說在進(jìn)行行為輪廓的確定時(shí),同樣應(yīng)該由一些特征量來確定,減少檢測(cè)工作可能出現(xiàn)的失誤,進(jìn)而可以提升檢測(cè)工作的效率。這種模式大大簡(jiǎn)化了行為判定的過程,但是由于過于簡(jiǎn)單的相應(yīng)行為也容易出現(xiàn)相關(guān)漏洞。3網(wǎng)絡(luò)信息管理之中入侵檢測(cè)技術(shù)的具體分類(1)異常檢測(cè),異常檢測(cè)顧名思義,便是對(duì)于入侵行為進(jìn)行檢測(cè),但是由于入侵的性質(zhì)未定,這就導(dǎo)致很多時(shí)候入侵檢測(cè)技術(shù)進(jìn)行了無用功。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)速度已經(jīng)得到了有效的自我發(fā)展,很多入侵檢測(cè)過程之中,很多時(shí)候檢測(cè)速度小于網(wǎng)絡(luò)檢測(cè)速度,這樣的情況下,一些行為尚未進(jìn)行阻攔,便已經(jīng)達(dá)成入侵的目的了,進(jìn)而導(dǎo)致了信息的丟失,所以說這方面的問題同樣應(yīng)該得到改善。很多時(shí)候,入侵行為往往較為隱秘,所以說這就導(dǎo)致了相關(guān)的入侵檢測(cè)技術(shù)不能對(duì)于入侵行為進(jìn)行提取,更無從談起其是否符合網(wǎng)絡(luò)安全規(guī)范。網(wǎng)絡(luò)信息管理之中的入侵檢測(cè)技術(shù)在現(xiàn)代之中仍然存在問題,同樣是兩個(gè)方面問題。所以說新的時(shí)期,入侵檢測(cè)技術(shù)也應(yīng)該得到自我的發(fā)展,同樣針對(duì)于應(yīng)用網(wǎng)絡(luò)的相關(guān)企業(yè)做好安全保證,保證信息技術(shù)在現(xiàn)代之中的發(fā)展。另外一方面便是現(xiàn)代計(jì)算機(jī)技術(shù)的發(fā)展。在現(xiàn)階段存在危險(xiǎn)的方面主要有兩個(gè)方面。所以說很多非法分子的入侵不僅僅是面對(duì)系統(tǒng)的,很多先通過入侵技術(shù)的漏洞來進(jìn)行。2現(xiàn)階段入侵檢測(cè)技術(shù)的使用現(xiàn)狀(1)網(wǎng)絡(luò)信息管理中入侵檢測(cè)系統(tǒng)的問題。第一個(gè)階段便是信息采集,主要便是對(duì)于用戶的各種信息使用行為和重要信息進(jìn)行收集,這些信息的收集主要是通過對(duì)于重點(diǎn)信息部位的使用信息進(jìn)行查詢得出的,所以說在現(xiàn)代應(yīng)用之中,入侵檢測(cè)技術(shù)一方面應(yīng)用了現(xiàn)代的檢測(cè)技術(shù),另外一方面也對(duì)于多種信息都進(jìn)行了收集行為,保證了收集信息的準(zhǔn)確性。(2)現(xiàn)階段入侵檢測(cè)技術(shù)的主要流程。如果說現(xiàn)代計(jì)算機(jī)作為系統(tǒng),那么入侵檢測(cè)技術(shù)就相當(dāng)于保安系統(tǒng),對(duì)于關(guān)鍵信息的儲(chǔ)存位置進(jìn)行定期檢查和掃描,一旦發(fā)現(xiàn)外來不明用戶杜宇關(guān)鍵信息進(jìn)行查詢,便對(duì)使用用戶進(jìn)行警告,幫助用戶進(jìn)行入侵行為的相關(guān)處理,保障關(guān)鍵的信息系統(tǒng)和數(shù)據(jù)信息不會(huì)收到損壞和盜竊?，F(xiàn)代企業(yè)在面臨網(wǎng)絡(luò)非法分子進(jìn)行信息盜取過程之中,首先應(yīng)該對(duì)于入侵行為有著明確的認(rèn)識(shí),這就需要現(xiàn)代的入侵檢測(cè)技術(shù)了,對(duì)于入侵行為有著明確的判定,才能真正的展開后續(xù)行動(dòng),這對(duì)現(xiàn)代網(wǎng)絡(luò)信息管理而言十分重要。本文進(jìn)行了相關(guān)分析,希望帶來幫助。第一篇：網(wǎng)絡(luò)信息理入侵檢測(cè)技術(shù)研究論文摘要:隨著現(xiàn)代信息技術(shù)的進(jìn)步,越來越多的企業(yè)通過計(jì)算機(jī)進(jìn)行全面信息的管理,但是在一些情況下,外部木馬等的介入會(huì)對(duì)于企業(yè)的數(shù)據(jù)儲(chǔ)存進(jìn)而造成信息泄露等,所以說針對(duì)于現(xiàn)代企業(yè)而言,網(wǎng)絡(luò)安全工作具有十分重要的意義。在這個(gè)大前提下,企業(yè)如何處理網(wǎng)絡(luò)信息管理中的入侵檢測(cè)技術(shù)變得非常重要。關(guān)鍵詞:網(wǎng)絡(luò)信息；管理；入侵檢測(cè)技術(shù)在現(xiàn)代之中,一些非法分子利用木馬進(jìn)行相應(yīng)的隱藏,然后通過對(duì)于計(jì)算機(jī)植入木馬,進(jìn)行一些信息的竊取。1網(wǎng)絡(luò)信息管理中入侵檢測(cè)技術(shù)概述(1)入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理之中的作用。入侵檢測(cè)技術(shù)同樣會(huì)對(duì)系統(tǒng)之中存在的漏洞進(jìn)行檢查和通報(bào),對(duì)于系統(tǒng)之中的漏洞而言,往往便是入侵行為發(fā)生的位置,所以針對(duì)于這些位置進(jìn)行處理,更為良好的保證整個(gè)系統(tǒng)的安全,對(duì)于現(xiàn)代企業(yè)網(wǎng)絡(luò)系統(tǒng)而言,入侵檢測(cè)技術(shù)便是保障的第二道鐵閘。通常情況下,入侵檢測(cè)技主要可以分為兩個(gè)階段。第二個(gè)階段便是處理相關(guān)信息,通過將收集的信息和過往的信息進(jìn)行有效對(duì)比,然后如果對(duì)比出相關(guān)錯(cuò)誤便進(jìn)行判斷,判斷使用行為是否違背了網(wǎng)絡(luò)安全管理規(guī)范,如果判斷結(jié)果為肯定,那么便可以認(rèn)定其屬于入侵行為,對(duì)于使用用戶進(jìn)行提醒,幫助用戶對(duì)于入侵行為進(jìn)行清除。入侵檢測(cè)技術(shù)作為一種網(wǎng)絡(luò)輔助軟件去,其本身在現(xiàn)階段并不是完善的,自身也存在漏洞。針對(duì)現(xiàn)階段的使用過程而言,入侵檢測(cè)技術(shù)仍然存在自身的漏洞危險(xiǎn),也存在主要使用風(fēng)險(xiǎn)。一方面便是由于入侵檢測(cè)系統(tǒng)存在漏洞。無論是相關(guān)的檢測(cè)系統(tǒng)亦或是相關(guān)病毒,都是現(xiàn)代編程人員利用C語言進(jìn)行編程,伴隨著相關(guān)編程水平的不斷提高,兩種技術(shù)同樣得到了自我發(fā)展,所以說很多hacker高手在現(xiàn)代的入侵行為之中,已經(jīng)不能以舊有的眼光來進(jìn)行相關(guān)分析。(2)現(xiàn)階段網(wǎng)絡(luò)信息管理之中入侵檢測(cè)技術(shù)存在的問題。一方面是由于入侵技術(shù)自身存在漏洞,在現(xiàn)階段很多入侵檢測(cè)技術(shù)是通過對(duì)于入侵行為進(jìn)行有效的提取,將行為進(jìn)行歸納,對(duì)于行為是否符合現(xiàn)代網(wǎng)絡(luò)安全規(guī)范,然后判斷結(jié)果是否為入侵。另外一方面的問題便是檢測(cè)速度明顯小于入侵速度,這也是在現(xiàn)階段常見的問題。企業(yè)在應(yīng)用之中,也應(yīng)該注意這種速度的問題,防止因?yàn)樗俣冗M(jìn)而造成自身信息丟失等?，F(xiàn)階段往往入侵檢測(cè)技術(shù)通過建立一個(gè)行為輪廓來進(jìn)行限定,如果入侵行為已經(jīng)超過了這個(gè)行為輪廓,便確定其為入侵行為。在實(shí)際工作之中,往往非入侵行為但是在行為輪廓行為之外的網(wǎng)絡(luò)訪問行為,但是在入侵檢測(cè)技術(shù)之中被判斷為入侵行為,造成了工作的重復(fù)。另外一方面可以設(shè)置參考數(shù)值,通過參考數(shù)值的評(píng)定來進(jìn)行評(píng)判,在入侵檢測(cè)技術(shù)之中,參考數(shù)值非常重要。在一般情況下,誤用檢測(cè)便是通過攻擊方法來進(jìn)行攻擊簽名,然后再通過定義已經(jīng)完成的攻擊簽名對(duì)于入侵行為進(jìn)行相關(guān)判斷。這種技術(shù)在實(shí)際使用過程之中,提升了入侵檢測(cè)數(shù)的效率和準(zhǔn)確。針對(duì)于網(wǎng)絡(luò)安全而言,其自身往往具有一些技術(shù)之中的漏洞,所以同樣容易引發(fā)入侵行為。參考文獻(xiàn)[1][J].中國科技博覽,2014,第16期:1212.[2][J].信息通信,2013,06期:9999.[3][J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,11期:168169.第二篇：入侵檢測(cè)技術(shù)論文目錄第一章 緒論 入侵檢測(cè)技術(shù)的背景 程序設(shè)計(jì)的目的 第二章 入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)入侵概述 網(wǎng)絡(luò)存在的安全隱患 網(wǎng)絡(luò)入侵與攻擊的常用手段 入侵檢測(cè)技術(shù) 誤用入侵檢測(cè)技術(shù) 異常入侵檢測(cè)技術(shù)第三章 協(xié)議分析 協(xié)議分析簡(jiǎn)介 協(xié)議分析的優(yōu)勢(shì)第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì) 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn) 數(shù)據(jù)包的分解 入侵檢測(cè)的實(shí)現(xiàn) 實(shí)驗(yàn)結(jié)果及結(jié)論第五章 總結(jié)與參考文獻(xiàn)摘要網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，人們?cè)絹碓揭蕾囉诰W(wǎng)絡(luò)進(jìn)行信息的處理。防火墻、加密等技術(shù)，總的來說均屬于靜態(tài)的防御技術(shù)。入侵檢測(cè)技術(shù)是一種主動(dòng)的防御技術(shù)，它不僅能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵，而且也能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法使用。本文提出了一種基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS的模型，在該模型中通過Winpcap捕獲數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析，判斷其是否符合某種入侵模式，從而達(dá)到入侵檢測(cè)的目的。另外，Internet的發(fā)展和應(yīng)用水平也已經(jīng)成為衡量一個(gè)國家政治、經(jīng)濟(jì)、軍事、技術(shù)實(shí)力的標(biāo)志；發(fā)展網(wǎng)絡(luò)技術(shù)是國民經(jīng)濟(jì)現(xiàn)代化建設(shè)不可缺少的必要條件。然而，網(wǎng)絡(luò)在給人們的學(xué)習(xí)、生活和工作帶來巨大便利的同時(shí)也帶來了各種安全問題。因此，研究各種切實(shí)有效的安全技術(shù)來保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全，已經(jīng)成為刻不容緩的課題。常用的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密、虛擬專用網(wǎng)絡(luò)（VPN，Virtual Private Network）、防火墻、殺毒軟件、數(shù)字簽名和身份認(rèn)證等技術(shù)。例如，防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問控制，但是它不能防止來自防火墻內(nèi)部的攻擊、不能防備最新出現(xiàn)的威脅、不能防止繞過防火墻的攻擊，入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過防火墻的訪問控制來進(jìn)行非法攻擊。虛擬專用網(wǎng)技術(shù)只能保證傳輸過程中的安全，并不能防御諸如拒絕服務(wù)攻擊、緩沖區(qū)溢出等常見的攻擊。而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù)，它主動(dòng)地收集包括系統(tǒng)審計(jì)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)包以及用戶活動(dòng)狀態(tài)等多方面的信息；然后進(jìn)行安全性分析，從而及時(shí)發(fā)現(xiàn)各種入侵并產(chǎn)生響應(yīng)。它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā)，入侵檢測(cè)理應(yīng)受到高度重視，這從國外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。傳統(tǒng)的入侵檢測(cè)系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配。若比較結(jié)果不同,則下移一個(gè)字節(jié)再進(jìn)行；若比較結(jié)果相同,那么就檢測(cè)到一個(gè)可 能 的攻擊。面對(duì)近幾年不斷出現(xiàn)的ATM、千兆以太網(wǎng)、G比特光纖網(wǎng)等高速網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問題。協(xié)議分析能夠智能地”理解”協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而大大減少了模式匹配所需的運(yùn)算。第二章 入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)入侵概述網(wǎng)絡(luò)在給人們帶來便利的同時(shí)也引入了很多安全問題。在需要時(shí)，網(wǎng)絡(luò)信息服務(wù)能為授權(quán)用戶提供實(shí)時(shí)有效的服務(wù)。網(wǎng)絡(luò)服務(wù)