【正文】 76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456重復(fù)比較，沒(méi)有一次匹配成功。對(duì)攻擊特征微小的變形都將使得檢測(cè)失敗。但以上的匹配方法卻不能檢測(cè)。他對(duì)該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來(lái)，可以獲得更好的效率、更精確的結(jié)果。他的高效使得匹配的計(jì)算量大幅度減小。以下是基于協(xié)議分析的入侵檢測(cè)系統(tǒng)如何處理上面例中的數(shù)據(jù)包的：AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456協(xié)議規(guī)范指出以太網(wǎng)絡(luò)數(shù)據(jù)包中第13字節(jié)處包含了兩個(gè)字節(jié)的第三層協(xié)議標(biāo)識(shí)。根據(jù)協(xié)議規(guī)范可以判斷這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包是IP包。因此系統(tǒng)跳過(guò)的15到24字節(jié)直接讀取第四層協(xié)議標(biāo)識(shí)：06，這個(gè)數(shù)據(jù)包是TCP協(xié)議。于是系統(tǒng)跳過(guò)第25到34字節(jié)直接讀取第35字節(jié)的端口號(hào)：80。HTTP協(xié)議規(guī)定第55字節(jié)是URL開(kāi)始處，我們要檢測(cè)供給特征“GET /cgibin/./phf”，因此要仔細(xì)檢測(cè)這個(gè)URL。 網(wǎng)絡(luò)引擎設(shè)計(jì) 網(wǎng)絡(luò)引擎一般可分為以下幾部分：數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析、引擎管理和安全通信。由于效率的需要，有時(shí)要根據(jù)設(shè)置過(guò)濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包。低效率的過(guò)濾程序會(huì)導(dǎo)致數(shù)據(jù)包丟失、分析部分來(lái)不及處理等。我們采用了專(zhuān)門(mén)為數(shù)據(jù)監(jiān)聽(tīng)?wèi)?yīng)用程序設(shè)計(jì)的開(kāi)發(fā)包里Wincap來(lái)實(shí)現(xiàn)這模塊，開(kāi)發(fā)包中內(nèi)置的內(nèi)核層實(shí)現(xiàn)的BDF過(guò)濾機(jī)制和許多接口函數(shù)不但能夠提高監(jiān)聽(tīng)部分的效率，也降低了我們開(kāi)發(fā)的難度。Wincap有三部分組成：一個(gè)數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序，一個(gè)低級(jí)的動(dòng)態(tài)連接庫(kù)和一個(gè)高級(jí)的靜態(tài)連接庫(kù)。數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序支持BPF過(guò)濾機(jī)制，可以靈活地設(shè)置過(guò)濾規(guī)則。高級(jí)的靜態(tài)鏈接庫(kù)和應(yīng)用程序編譯在一起，他使用低級(jí)動(dòng)態(tài)鏈接庫(kù)提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽(tīng)接口。可以把所有的協(xié)議構(gòu)成一棵協(xié)議樹(shù)，一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹(shù)來(lái)表示（如圖3－3）。在程序中動(dòng)態(tài)地維護(hù)和配置此樹(shù)結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。樹(shù)的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息：該協(xié)議的特征、協(xié)議名稱(chēng)、協(xié)議代號(hào)，下級(jí)協(xié)議代號(hào)，協(xié)議對(duì)應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。協(xié)議代號(hào)是為了提高分析速度用的編號(hào)。協(xié)議特征是用于判定一個(gè)數(shù)據(jù)包是否為該協(xié)議的特征數(shù)據(jù),這是協(xié)議分析模塊判斷該數(shù)據(jù)包的協(xié)議類(lèi)型的主要依據(jù)。該鏈表的每一結(jié)點(diǎn)包含可配置的數(shù)據(jù)，如是否啟動(dòng)該檢測(cè)函數(shù)等。一個(gè)數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類(lèi)型入侵，這樣可以方便的進(jìn)行配置。一般情況下，數(shù)據(jù)分析盡可能地放到樹(shù)結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能地靠近葉子結(jié)點(diǎn)，因?yàn)闃?shù)根部分調(diào)用次數(shù)最多，過(guò)多的數(shù)據(jù)分析函數(shù)聚集在此會(huì)嚴(yán)重影響系統(tǒng)的性能。數(shù)據(jù)分析函數(shù)不僅僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個(gè)事件來(lái)觸發(fā)。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個(gè)開(kāi)放的分布的平臺(tái)使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號(hào)存放在入侵特征數(shù)據(jù)庫(kù)中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫(kù)中某種特征匹配，就指出這是這種入侵行為。當(dāng)前發(fā)展的趨勢(shì)是更高級(jí)的統(tǒng)計(jì)分析方法、基于專(zhuān)家系統(tǒng)的分析方法和機(jī)于神經(jīng)網(wǎng)絡(luò)的分析方法等。甚至在不關(guān)閉系統(tǒng)的狀態(tài)下向系統(tǒng)動(dòng)態(tài)地添加新的數(shù)據(jù)分析功。動(dòng)態(tài)添加數(shù)據(jù)分析功能是通過(guò)添加新的動(dòng)態(tài)連接庫(kù)中的數(shù)據(jù)分析函數(shù)來(lái)實(shí)現(xiàn)的。引擎管理：代理管理部分負(fù)責(zé)網(wǎng)絡(luò)引擎中各部分的協(xié)調(diào)和配置。因?yàn)榭刂婆_(tái)和網(wǎng)絡(luò)代理可能是分布在網(wǎng)絡(luò)的的不同主機(jī)上，因此需要網(wǎng)絡(luò)代理有一個(gè)代碼移動(dòng)和動(dòng)態(tài)更新的機(jī)制。 主機(jī)代理基于主機(jī)的入侵檢測(cè)要依賴(lài)于特定的操作系統(tǒng)和審計(jì)跟蹤日志獲取信息，此類(lèi)系統(tǒng)的原始數(shù)據(jù)來(lái)源受到所依附具體操作系統(tǒng)平臺(tái)的限制，系統(tǒng)的實(shí)現(xiàn)主要針對(duì)某種特定的系統(tǒng)平臺(tái)，在環(huán)境適應(yīng)性、可移植性方面問(wèn)題較多。 數(shù)據(jù)來(lái)源 主機(jī)代理的數(shù)據(jù)來(lái)源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來(lái)源那樣單一，它可以在系統(tǒng)所能夠訪問(wèn)的有必要的所有地方獲得數(shù)據(jù)來(lái)分析。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。日志文件中記錄了各種行為類(lèi)型，每種類(lèi)型又包含不同的信息，例如記錄“用戶(hù)活動(dòng)”類(lèi)型的日志，就包含登錄、用戶(hù)ID改變、用戶(hù)對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。2．目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。黑客經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行時(shí)執(zhí)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。 代理結(jié)構(gòu)從以上可以看出，主機(jī)代理的數(shù)據(jù)來(lái)源比網(wǎng)絡(luò)引擎復(fù)雜得多，由于數(shù)據(jù)源的不同，分析方法也各不一樣。主機(jī)代理分為日志分析、文件檢測(cè)、主機(jī)網(wǎng)絡(luò)接口檢測(cè)、用戶(hù)行為監(jiān)測(cè)及管理模塊和安全通信。當(dāng)時(shí)的系統(tǒng)管理員們通常是一行一行地手工分析程序日志，于是出現(xiàn)了一些幫助系統(tǒng)管理員分析這些程序日志的小程序，這便是最早期的入侵檢測(cè)系統(tǒng)了。比如用日志分析方法來(lái)檢測(cè)CGI攻擊的代價(jià)是非常小的，但日志分析屬于事后分析，攻擊已經(jīng)完成了。 文件監(jiān)測(cè)：文件監(jiān)測(cè)中的文件完整性檢測(cè)也屬于傳統(tǒng)項(xiàng)目，在UNIX平臺(tái)上早有廣泛的應(yīng)用。如果WEB服務(wù)的主頁(yè)文件被更改，幾乎可以肯定發(fā)生了攻擊。統(tǒng)計(jì)表明％70的攻擊來(lái)自于內(nèi)部，所以對(duì)內(nèi)部員工行為的檢測(cè)也是很重要的一個(gè)任務(wù)。對(duì)于用戶(hù)行為的分析也是一個(gè)監(jiān)測(cè)方面。 主機(jī)網(wǎng)絡(luò)接口檢測(cè)：主機(jī)網(wǎng)絡(luò)接口檢測(cè)是一種比較新的防護(hù)技術(shù)，類(lèi)似于個(gè)人防火墻(Personal Firewar)。他檢測(cè)本地主機(jī)的網(wǎng)絡(luò)通信情況，將基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)應(yīng)用于主機(jī)上，由于它只檢測(cè)和分析與本地主機(jī)相關(guān)的通信，所以檢測(cè)的代價(jià)比較小。網(wǎng)絡(luò)接口防護(hù)不僅僅是檢測(cè)系統(tǒng)的一部分，他也可以是一個(gè)獨(dú)立的安全保護(hù)工具。第一，由于一個(gè)網(wǎng)絡(luò)傳感器可以監(jiān)視具有多臺(tái)主機(jī)的整個(gè)網(wǎng)段，從路由器的基礎(chǔ)設(shè)施到應(yīng)用程序的訪問(wèn)，可以說(shuō)網(wǎng)絡(luò)傳感器能夠檢測(cè)企業(yè)網(wǎng)絡(luò)中所有組件所受到的攻擊。不過(guò)這種網(wǎng)絡(luò)傳感器也有局限性，因此在某些情況下也需要其它類(lèi)型的傳感器：1. 快速網(wǎng)絡(luò)。2. 加密數(shù)據(jù)。3. 交換網(wǎng)絡(luò)。因?yàn)橥ǔ＞W(wǎng)絡(luò)數(shù)據(jù)都是停留在換的網(wǎng)段內(nèi)部。這樣一個(gè)有利的位置決定了它只對(duì)目的地址為該服務(wù)器的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)。因?yàn)橹鳈C(jī)網(wǎng)絡(luò)接口檢測(cè)器監(jiān)測(cè)的是一個(gè)主機(jī)上的通信，而不是網(wǎng)絡(luò)中的所有通信。3. 由于主機(jī)網(wǎng)絡(luò)接口檢測(cè)器是直接位于主機(jī)上的，因此交換網(wǎng)絡(luò)也不成問(wèn)題。本來(lái)這兩者各自均不能完美地解決安全檢測(cè)問(wèn)題，但通過(guò)巧妙地結(jié)合，它們構(gòu)成了實(shí)現(xiàn)網(wǎng)絡(luò)威脅檢測(cè)的可靠解決方案。構(gòu)造專(zhuān)用的存儲(chǔ)系統(tǒng)可以提高反應(yīng)速度，但那是一個(gè)艱難的過(guò)程。現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)都支持SQL查詢(xún)，它對(duì)搜索的封裝使得分析系統(tǒng)可以使用通用的接口。圖4－1 存儲(chǔ)系統(tǒng)框圖 數(shù)據(jù)載入 使用數(shù)據(jù)庫(kù)系統(tǒng)，事件數(shù)據(jù)進(jìn)入數(shù)據(jù)庫(kù)時(shí)有如下兩種選擇：n 把原始數(shù)據(jù)直接寫(xiě)入數(shù)據(jù)庫(kù)系統(tǒng)中進(jìn)行存儲(chǔ)，并在數(shù)據(jù)庫(kù)空中完成過(guò)濾分析。第一種選擇的優(yōu)點(diǎn)在于，一旦制定了載入原始數(shù)據(jù)的方法并對(duì)它們進(jìn)行處理，就解決的數(shù)據(jù)載入的所有問(wèn)題。我們選擇的一種數(shù)據(jù)載入方法。主要原因是在數(shù)據(jù)載入數(shù)據(jù)庫(kù)后，要在正把該數(shù)據(jù)寫(xiě)到數(shù)據(jù)庫(kù)的物理存儲(chǔ)中，就必須調(diào)用提交命令(mit)。如果分批提交，你就可以獲得更高的性能，但這樣延長(zhǎng)了系統(tǒng)的等待時(shí)間。在網(wǎng)絡(luò)引擎和主機(jī)代理中對(duì)已知的攻擊方法進(jìn)行實(shí)時(shí)檢測(cè)，在這個(gè)層次的檢測(cè)中強(qiáng)調(diào)實(shí)時(shí)性所以采用的是比較計(jì)算量比較小的模式匹配方法。同時(shí)亦可以通過(guò)調(diào)節(jié)每次提交的數(shù)量來(lái)控制實(shí)時(shí)性的要求，如果系統(tǒng)硬件條件允許（有比較高的處理器速度、比較大的內(nèi)存、高速的外部存儲(chǔ)設(shè)備）可以將批量提交的數(shù)量減小，甚至可以是減小到每個(gè)數(shù)據(jù)就提交一次，以得到更好的實(shí)時(shí)性?？梢酝ㄟ^(guò)用戶(hù)設(shè)定一個(gè)實(shí)時(shí)性要求參數(shù)、根據(jù)需要載入數(shù)據(jù)庫(kù)的原始數(shù)據(jù)的速度來(lái)自動(dòng)調(diào)節(jié)每次提交的數(shù)量。由于入侵檢測(cè)系統(tǒng)的規(guī)模大小直接影響到存儲(chǔ)系統(tǒng)的規(guī)模，因此不同規(guī)模的系統(tǒng)的使用的存儲(chǔ)系統(tǒng)大不相同。 數(shù)據(jù)縮減 即使編寫(xiě)的很好的過(guò)濾器也會(huì)出現(xiàn)誤報(bào)警。但是我們無(wú)法悠久保存這樣的高保真數(shù)據(jù)，就需要對(duì)數(shù)據(jù)庫(kù)進(jìn)行一次或多次縮減。 原始數(shù)據(jù)數(shù)據(jù)庫(kù)：原始數(shù)據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)了近一段時(shí)間的高保真數(shù)據(jù)，這些數(shù)據(jù)包括源IP地址、目標(biāo)IP地址、原始數(shù)據(jù)、欺騙包的特征、新的攻擊特征、最后一次見(jiàn)到的時(shí)間等。原始數(shù)據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)很短一段時(shí)間內(nèi)的數(shù)據(jù)包，這個(gè)時(shí)間通常是3天到一周之間。一般認(rèn)為原始數(shù)據(jù)應(yīng)該保存3天到一周，我們總是盡可能長(zhǎng)地保存原始數(shù)據(jù)，源為數(shù)據(jù)縮減后進(jìn)行手工分析就會(huì)受到限制。同時(shí)原始數(shù)據(jù)的增加會(huì)延長(zhǎng)數(shù)據(jù)庫(kù)檢索的時(shí)間，降低數(shù)據(jù)分析速度。按時(shí)間設(shè)置以分析為依據(jù)設(shè)置原始數(shù)據(jù)應(yīng)該保存的時(shí)間，而按存儲(chǔ)容量是以保證檢索性能為前提來(lái)配置系統(tǒng)。長(zhǎng)期記錄數(shù)據(jù)庫(kù)主要支持產(chǎn)生報(bào)告而不是交互式的查詢(xún)，還能幫助可能漏掉的事件進(jìn)行檢測(cè)。 推與拉技術(shù)存儲(chǔ)系統(tǒng)從事件發(fā)生器（網(wǎng)絡(luò)引擎、主機(jī)代理）和其他部件中提取數(shù)據(jù)有兩種方案：推(PUSH)和拉(PULL)。拉技術(shù)是存儲(chǔ)系統(tǒng)在需要數(shù)據(jù)時(shí)查詢(xún)各事件發(fā)生器，一起獲得最新的數(shù)據(jù)。如果檢測(cè)器對(duì)每一個(gè)檢測(cè)到的事件都產(chǎn)生一個(gè)數(shù)據(jù)包，并且檢測(cè)器是可以觀測(cè)到的，那么很容易判斷出檢測(cè)器是如何配置的。低層次的攻擊者不太可能有這樣的耐心，但對(duì)于高層次的攻擊者幾乎肯定會(huì)這樣做，例如高級(jí)經(jīng)濟(jì)間諜。這樣做能夠給出相同的檢測(cè)結(jié)果，雖然會(huì)對(duì)實(shí)時(shí)響應(yīng)能力有些影響，但卻能夠掩蓋檢測(cè)器的檢測(cè)內(nèi)容?？偟恼f(shuō)來(lái)，推對(duì)于入侵檢測(cè)系統(tǒng)來(lái)說(shuō)是一種好的結(jié)構(gòu)。許多黑客用來(lái)收集用戶(hù)ID和密碼的嗅探器程序就是拉結(jié)構(gòu)。由于分析系統(tǒng)和存儲(chǔ)系統(tǒng)是利用統(tǒng)一的網(wǎng)絡(luò)接口交換數(shù)據(jù)，所以一個(gè)ODIDS中可能有多個(gè)分析系統(tǒng)，每個(gè)分析系統(tǒng)采用的檢測(cè)方法也不一定相同。分析系統(tǒng)可以采用兩種類(lèi)型的檢測(cè)技術(shù)，基于行為的檢測(cè)和基于知識(shí)的檢測(cè)。基于行為的檢測(cè)與系統(tǒng)相對(duì)無(wú)關(guān)，通用性較強(qiáng)。但因?yàn)椴豢赡軐?duì)整個(gè)系統(tǒng)內(nèi)的所有用戶(hù)行為進(jìn)行全面的描述，況且每個(gè)用戶(hù)的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高。其次由于統(tǒng)計(jì)簡(jiǎn)表要不斷更新，入侵者如果知道某系統(tǒng)在檢測(cè)器的監(jiān)視之下，他們能慢慢地訓(xùn)練檢測(cè)系統(tǒng)，以至于最初認(rèn)為是異常的行為，經(jīng)一段時(shí)間訓(xùn)練后也認(rèn)為是正常的了。概率統(tǒng)計(jì)方法　　概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。用戶(hù)特征表需要根據(jù)審計(jì)記錄情況不斷地加以更新。　　這些變量所記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點(diǎn)及時(shí)間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問(wèn)或改變的目錄及文件，網(wǎng)絡(luò)上活動(dòng)等。這個(gè)特征值是所有有悖于用戶(hù)特征的異常程度值的函數(shù)。則這個(gè)特征值可以用所有Si值的加權(quán)平方和來(lái)表示：　　M=a1s12+ a2s22+…+ ansn2，ai0，其中ai表示每一特征的權(quán)重。dσ就認(rèn)為出現(xiàn)異常。但也有一些不足之處，如：統(tǒng)計(jì)檢測(cè)對(duì)事件發(fā)生的次序不敏感，也就是說(shuō)，完全依靠統(tǒng)計(jì)理論可能漏檢那些利用彼此關(guān)聯(lián)事件的入侵行為。閾值太低則漏檢率提高，閾值太高則誤檢率提高。與統(tǒng)計(jì)理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系，并且能自動(dòng)學(xué)習(xí)并更新。用于檢測(cè)的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的：當(dāng)前命令和剛過(guò)去的w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)下一個(gè)命令時(shí)所包含的過(guò)去命令集的大小?；谏窠?jīng)網(wǎng)絡(luò)的檢測(cè)思想可用下圖表示：圖4－2 神經(jīng)網(wǎng)絡(luò)檢測(cè)思想圖中輸入層的W個(gè)箭頭代表了用戶(hù)最近的W個(gè)命令，輸出層預(yù)測(cè)用戶(hù)將要發(fā)生的下一個(gè)動(dòng)作。缺點(diǎn)在于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定，命令窗口w的大小也難以選取。 基于知識(shí)的檢測(cè)基于知識(shí)的檢測(cè)指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)?；谥R(shí)的檢測(cè)也被稱(chēng)為違規(guī)檢測(cè)(Misuse Detection)。主要缺陷在于與具體系統(tǒng)依賴(lài)性太強(qiáng)，不但系統(tǒng)移植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識(shí)也很困難?；谥R(shí)的檢測(cè)方法大致有以下3種。將有關(guān)入侵的知識(shí)轉(zhuǎn)化成ifthen結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if 部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。其中的ifthen結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫(kù)，狀態(tài)行為及其語(yǔ)義環(huán)境可根據(jù)審計(jì)事件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。因?yàn)檫@些缺陷，專(zhuān)家系統(tǒng)一般不用于商業(yè)產(chǎn)品中，運(yùn)用較多的是特征分析。但是，攻擊方法的語(yǔ)義描述不是被轉(zhuǎn)化為檢測(cè)規(guī)則，而是在審計(jì)紀(jì)錄中能直接找到的信息形式。這種方法的缺陷也和所有基于知識(shí)的檢測(cè)方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)。模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。根據(jù)這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。然后通過(guò)一個(gè)稱(chēng)為預(yù)測(cè)器的程序模塊根據(jù)當(dāng)前行為模式，產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳本子集，并將它傳給決策器。然后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這些攻擊。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的次數(shù)減少，攻擊腳本不斷地得到更新。另外，這種檢測(cè)方法也減少了需要處理的數(shù)據(jù)量，因?yàn)樗紫劝茨_本類(lèi)型檢測(cè)相應(yīng)類(lèi)型是否出現(xiàn)，然后再檢測(cè)具體的事件。狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換分析最早由 提出，即將狀態(tài)轉(zhuǎn)換圖應(yīng)用于入侵行為的分析。分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。但是，狀態(tài)轉(zhuǎn)換是針對(duì)事件序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的入侵。利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達(dá)狀態(tài)，并且簡(jiǎn)潔明了。下面是這種方法的一個(gè)簡(jiǎn)單示例，表示在一分鐘內(nèi)如果登錄失敗的次數(shù)超過(guò)4次，系統(tǒng)便發(fā)出警報(bào)。如果在狀態(tài) S4時(shí)又有登錄失敗，而且這時(shí)的時(shí)間 T2T160 秒，則系統(tǒng)轉(zhuǎn)入狀態(tài) S5，即為入侵狀態(tài)，系統(tǒng)發(fā)出警報(bào)并作