云计算及安全-云计算及入侵检测

云计算与入侵检测 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统IDS存在与发展的必然性存在与发展的必然性一、网络攻击造成的破坏性和损失日益严重一、网络攻击造成的破坏性和损失日益严重二、网络安全威胁日益增长二、网络安全威胁日益增长三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击IDS的作用为什么需要为什么需要IDSn单一防护产品的弱点单一防护产品的弱点n防御方法和防御策略的有限性防御方法和防御策略的有限性n动态多变的网络环境动态多变的网络环境n来自外部和内部的威胁来自外部和内部的威胁为什么需要为什么需要IDSn关于防火墙关于防火墙n网络边界的设备，只能抵挡外部來的入侵行网络边界的设备，只能抵挡外部來的入侵行为为n自身存在弱点，也可能被攻破自身存在弱点，也可能被攻破n对某些攻击保护很弱对某些攻击保护很弱n即使透过防火墙的保护，合法的使用者仍会即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限非法地使用系统，甚至提升自己的权限n仅能拒绝非法的连接請求，但是对于入侵者仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知的攻击行为仍一无所知为什么需要为什么需要IDSn入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理，产品成熟可简化网络管理，产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误警率高，缓慢攻击，新误警率高，缓慢攻击，新的攻击模式的攻击模式Scanner完全主动式安全工具，能够了完全主动式安全工具，能够了解网络现有的安全水平，简单解网络现有的安全水平，简单可操作，帮助系统管理员和安可操作，帮助系统管理员和安全服务人员解决实际问题，全服务人员解决实际问题，并不能真正了解网络上即并不能真正了解网络上即时发生的攻击时发生的攻击VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏可视为防火墙上的一个漏洞洞防病毒防病毒针对文件与邮件，产品成熟针对文件与邮件，产品成熟功能单一功能单一n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测（入侵检测（Intrusion Detection）是对入侵行）是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点的关键点收集收集信息并进行信息并进行分析分析，从中发现网络，从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象入侵检测的定义n对系统的运行状态进行监视，发现各种攻对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n入侵检测系统：进行入侵检测的软件与硬入侵检测系统：进行入侵检测的软件与硬件的组合件的组合 （IDS:Intrusion Detection System）IDS基本结构基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件（1 1）信息收集信息收集（2 2）分析引擎分析引擎（3 3）响应部件）响应部件信息搜集信息搜集信息收集信息收集n入侵检测的第一步是信息收集，收集内容包括系统、入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为网络、数据及用户活动的状态和行为n需要在计算机网络系统中的若干不同关键点（不同需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息网段和不同主机）收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集n入侵检测的效果很大程度上依赖于收集信息的入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性可靠性和正确性n要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性n特别是入侵检测系统软件本身应具有相当强的特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息坚固性，防止被篡改而收集到错误的信息 信息收集的来源信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为系统或网络的日志文件系统或网络的日志文件n攻击者常在系统日志文件中留下他们的踪迹，因此，攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要条件条件n日志文件中记录了各种行为类型，每种类型又包含不日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录同的信息，例如记录“用户活动用户活动”类型的日志，就包类型的日志，就包含登录、用户含登录、用户ID改变、用户对文件的访问、授权和认改变、用户对文件的访问、授权和认证信息等内容证信息等内容n显然，对用户活动来讲，不正常的或不期望的行为就显然，对用户活动来讲，不正常的或不期望的行为就是是:重复登录失败、登录到不期望的位置以及非授权的重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等企图访问重要文件等等 系统目录和文件的异常变化系统目录和文件的异常变化n网络环境中的文件系统包含很多软件和数据文件，包网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标破坏的目标n目录和文件中的不期望的改变（包括修改、创建和删目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号是一种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权的系统入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件迹，都会尽力去替换系统程序或修改系统日志文件 分析引擎分析引擎分析引擎分析引擎 模式匹配模式匹配 统计分析统计分析 完整性分析，往往用于事后分析完整性分析，往往用于事后分析模式匹配模式匹配n模式匹配就是将收集到的信息与已知的网络入侵和系模式匹配就是将收集到的信息与已知的网络入侵和系统误用统误用模式数据库模式数据库进行比较，从而发现违背安全策略进行比较，从而发现违背安全策略的行为的行为n一般来讲，一种攻击模式可以用一个过程（如执行一一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）式来表示安全状态的变化）统计分析统计分析n统计分析方法首先给系统对象（如用户、文件、目录统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）些测量属性（如访问次数、操作失败次数和延时等）n测量属性的平均值和偏差被用来与网络、系统的行为测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生有入侵发生完整性分析完整性分析n完整性分析主要完整性分析主要关注某个文件或对象是否被更改关注某个文件或对象是否被更改n包括文件和目录的内容及属性包括文件和目录的内容及属性n在发现被更改的、被安装木马的应用程序方面特别有效在发现被更改的、被安装木马的应用程序方面特别有效响应部件响应部件响应动作n简单报警n切断连接n封锁用户n改变文件属性n最强烈反应：回击攻击者入侵检测系统性能关键参数入侵检测系统性能关键参数n误报误报(false positive)：如果系统错误地将异如果系统错误地将异常活动定义为入侵常活动定义为入侵n漏报漏报(false negative)：如果系统未能检测出如果系统未能检测出真正的入侵行为真正的入侵行为入侵检测系统的分类（入侵检测系统的分类（1）n按照分析方法（检测方法）按照分析方法（检测方法）n异常检测模型异常检测模型（Anomaly Detection):首先总首先总结正常操作应该具有的特征（用户轮廓），结正常操作应该具有的特征（用户轮廓），当用当用户活动与正常行为有重大偏离时即被认为是入侵户活动与正常行为有重大偏离时即被认为是入侵 n误用检测模型误用检测模型（Misuse Detection)：收集非正收集非正常操作的行为特征常操作的行为特征，建立相关的特征库，建立相关的特征库，当监测当监测的用户或系统行为与库中的记录相匹配时，系统的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵就认为这种行为是入侵 入侵检测系统的分类入侵检测系统的分类l网络网络IDS:n网络网络IDS（NIDS）通常以非破坏方式使用。这种）通常以非破坏方式使用。这种设备能够捕获设备能够捕获LAN区域中的信息流并试着将实时信区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。息流与已知的攻击签名进行对照。两类两类IDS监测软件监测软件n网络网络IDSn侦测速度快侦测速度快 n隐蔽性好隐蔽性好 n视野更宽视野更宽 n较少的监测器较少的监测器 n占资源少占资源少 n主机主机IDSn视野集中视野集中 n易于用户自定义易于用户自定义n保护更加周密保护更加周密n对网络流量不敏感对网络流量不敏感 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统制订响应策略应考虑的要素制订响应策略应考虑的要素n系统用户：入侵检测系统用户可以分为网络系统用户：入侵检测系统用户可以分为网络安全专家安全专家或或管理员管理员、系统管理员、安全调查员系统管理员、安全调查员。这三类人员对系统。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待的使用目的、方式和熟悉程度不同，必须区别对待n操作运行环境：入侵检测系统提供的信息形式依赖其运操作运行环境：入侵检测系统提供的信息形式依赖其运行环境行环境n系统目标：为用户提供关键数据和业务的系统，需要部系统目标：为用户提供关键数据和业务的系统，需要部分地提供主动响应机制分地提供主动响应机制n规则或法令的需求：在某些军事环境里，允许采取主动规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为防御甚至攻击技术来对付入侵行为响应策略响应策略n弹出窗口报警nE-mail通知n切断TCP连接n执行自定义程序n与其他安全产品交互nFirewallnSNMP Trapv压制调速压制调速 1 1、撤消连接撤消连接 2 2、回避回避 3 3、隔离隔离 vSYN/ACKSYN/ACKvRESETsRESETs自动响应自动响应一个高级的网络节点在使用一个高级的网络节点在使用“压制调速压制调速”技术的情况技术的情况下，可以下，可以采用路由器把攻击者引导到一个经过特殊装备采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐的系统上，这种系统被成为蜜罐 蜜罐是一种欺骗手段，它可以用于错误地诱导攻击蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力者，也可以用于收集攻击信息，以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定行为数量决定 蜜罐蜜罐 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统IDS标准化要求标准化要求n随着网络规模的扩大，网络入侵的方式、类随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而型、特征各不相同，入侵的活动变得复杂而又难以捉摸又难以捉摸n网络的安全要求网络的安全要求IDS之间之间能够相互协作，能能够相互协作，能够与访问控制、应急、入侵追踪等系统交换够与访问控制、应急、入侵追踪等系统交换信息，形成一个整体有效的安全保障系统信息，形成一个整体有效的安全保障系统n需要一个标准来加以指导，系统之间要有一需要一个标准来加以指导，系统之间要有一个约定个约定CIDF(The Common Intrusion Detection Framework)CIDFnCIDFCIDF早期由美国国防部高级研究计划局赞助研究，现在由早期由美国国防部高级研究计划局赞助研究，现在由CIDFCIDF工作组负责，这是一个开放组织。实际上工作组负责，这是一个开放组织。实际上CIDFCIDF已经成已经成为一个开放的共享的资源为一个开放的共享的资源nCIDFCIDF是一套规范，它定义了是一套规范，它定义了IDSIDS表达检测信息的标准语言以表达检测信息的标准语言以及及IDSIDS组件之间的通信协议组件之间的通信协议n符合符合CIDFCIDF规范的规范的IDSIDS可以共享检测信息，相互通信，协同工可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策作，还可以与其它系统配合实施统一的配置响应和恢复策略略nCIDFCIDF的主要作用在于集成各种的主要作用在于集成各种IDSIDS，使之协同工作，实现各，使之协同工作，实现各IDSIDS之间的组件重用，所以之间的组件重用，所以CIDFCIDF也是构建分布式也是构建分布式IDSIDS的基础的基础CIDF规格文档 CIDFCIDF的规格文档由四部分组成，分别为：的规格文档由四部分组成，分别为：n体系结构：阐述了一个标准的体系结构：阐述了一个标准的IDSIDS的通用模型的通用模型n规范语言：定义了一个用来描述各种检测信息的标准语言规范语言：定义了一个用来描述各种检测信息的标准语言n内部通讯：定义了内部通讯：定义了IDSIDS组件之间进行通信的标准协议组件之间进行通信的标准协议n程序接口：提供了一整套标准的应用程序接口程序接口：提供了一整套标准的应用程序接口通信层次nCIDFCIDF将各组件之间的通信划分为三个层次结构：将各组件之间的通信划分为三个层次结构：GIDOGIDO层（层（GIDO GIDO layerlayer）、消息层（）、消息层（Message layerMessage layer）和传输层（）和传输层（Negotiated Negotiated Transport layerTransport layer）n其中传输层不属于其中传输层不属于CIDFCIDF规范，它可以采用很多种现有的传输机制来规范，它可以采用很多种现有的传输机制来实现实现n消息层负责对传输的信息进行加密认证，然后将其可靠地从源传输消息层负责对传输的信息进行加密认证，然后将其可靠地从源传输到目的地，消息层不关心传输的内容，它只负责建立一个可靠的传到目的地，消息层不关心传输的内容，它只负责建立一个可靠的传输通道输通道nGIDOGIDO层负责对传输信息的格式化，正是因为有了层负责对传输信息的格式化，正是因为有了GIDOGIDO这种统一的信这种统一的信息表达格式，才使得各个息表达格式，才使得各个IDSIDS之间的互操作成为可能之间的互操作成为可能CISL(A Common Intrusion Specification Language)(A Common Intrusion Specification Language)nCIDFCIDF的规范语言文档定义了一个公共入侵标准语言的规范语言文档定义了一个公共入侵标准语言CISLCISL，各，各IDSIDS使用统一的使用统一的CISLCISL来表示原始事件信息、来表示原始事件信息、分析结果和响应指令，从而建立了分析结果和响应指令，从而建立了IDSIDS之间信息共享之间信息共享的基础的基础nCISLCISL是是CIDFCIDF的最核心也是最重要的内容的最核心也是最重要的内容nCIDFCIDF的匹配服务为的匹配服务为CIDFCIDF各组件之间的相互识别、定位和各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制信息共享提供了一个标准的统一的机制n匹配器匹配器的实现是基于轻量目录访问协议（的实现是基于轻量目录访问协议（LDAPLDAP）的，每）的，每个组件通过目录服务注册，并公告它能够产生或能够处理个组件通过目录服务注册，并公告它能够产生或能够处理的的GIDOGIDO，这样组件就被分类存放，其它组件就可以方便，这样组件就被分类存放，其它组件就可以方便地查找到那些它们需要通信的组件地查找到那些它们需要通信的组件n目录中还可以存放组件的公共密钥，从而实现对组件接收目录中还可以存放组件的公共密钥，从而实现对组件接收和发送和发送GIDOGIDO时的身份认证时的身份认证n通信模块：实现客户端（可为任何一个通信模块：实现客户端（可为任何一个CIDFCIDF组件）与匹配组件）与匹配代理之间的通信协议代理之间的通信协议n匹配代理：一个任务是处理从远端组件到它的客户端的输入匹配代理：一个任务是处理从远端组件到它的客户端的输入请求，另一个任务是处理从它的客户端到远端组件的输出请请求，另一个任务是处理从它的客户端到远端组件的输出请求求n认证和授权模块：使一个组件能够鉴别其它组件，使客户端认证和授权模块：使一个组件能够鉴别其它组件，使客户端与匹配代理之间能够相互鉴别与匹配代理之间能够相互鉴别n 客户端缓冲区：使客户端能够对最近建立的一些关联信息客户端缓冲区：使客户端能够对最近建立的一些关联信息进行缓冲存储进行缓冲存储 CIDF CIDF的程序接口文档描述了用于的程序接口文档描述了用于GIDOGIDO编解码以及传输的标准编解码以及传输的标准应用程序接口（以下简称为应用程序接口（以下简称为APIAPI），它包括以下几部分内容），它包括以下几部分内容nGIDOGIDO编码和解码编码和解码APIAPI（GIDO Encoding/Decoding API GIDO Encoding/Decoding API SpecificationSpecification）n 消息层消息层APIAPI（Message Layer API SpecificationMessage Layer API Specification）n GIDOGIDO动态追加动态追加APIAPI（GIDO Addendum APIGIDO Addendum API）n签名签名APIAPI（Signature APISignature API）n顶层顶层CIDFCIDF的的APIAPI（Top-Level CIDF APITop-Level CIDF API）每类每类APIAPI均包含数据结构定义、函数定义和错误代码定义等均包含数据结构定义、函数定义和错误代码定义等n目前目前CIDFCIDF还没有成为正式的标准，也没有一个商业还没有成为正式的标准，也没有一个商业IDSIDS产品完产品完全遵循该规范，但各种全遵循该规范，但各种IDSIDS的结构模型具有很大的相似性，各的结构模型具有很大的相似性，各厂商都在按照厂商都在按照CIDFCIDF进行信息交换的标准化工作，有些产品已进行信息交换的标准化工作，有些产品已经可以部分地支持经可以部分地支持CIDFCIDFn可以预测，随着分布式可以预测，随着分布式IDSIDS的发展，各种的发展，各种IDSIDS互操作和协同工互操作和协同工作的迫切需要，各种作的迫切需要，各种IDSIDS产品必须遵循统一的框架结构，产品必须遵循统一的框架结构，CIDFCIDF将成为事实上的将成为事实上的IDSIDS的工业标准的工业标准 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统n使用分层安全方法会最大化发挥入侵检测系统（使用分层安全方法会最大化发挥入侵检测系统（IDSIDS）的功效。）的功效。n分层安全机制意味着采用了多种措施来确保数据安全，因此增分层安全机制意味着采用了多种措施来确保数据安全，因此增加了攻击者渗透到网络中所需要的工作负载和时间。加了攻击者渗透到网络中所需要的工作负载和时间。n对数据实施安全防护所使用的安全部件和安全层次越多，基础对数据实施安全防护所使用的安全部件和安全层次越多，基础设施的安全性就越高。设施的安全性就越高。n安全策略、安全过程、安全标准以及安全指南，包括一个顶层安全策略、安全过程、安全标准以及安全指南，包括一个顶层的安全策略；的安全策略；n边界安全，例如路由器、防火墙和其他边界设备；边界安全，例如路由器、防火墙和其他边界设备；n硬件和软件的主机安全产品；硬件和软件的主机安全产品；n审计、监控、入侵检测与响应。审计、监控、入侵检测与响应。n对网络流量进行监控，并对网络流量进行监控，并/或对主机审计日志进行监控，确保或对主机审计日志进行监控，确保能够检测到是否有违背组织安全策略的事件发生。能够检测到是否有违背组织安全策略的事件发生。n入侵检测系统能够发现那些规避或绕开防火墙的入侵行为，以入侵检测系统能够发现那些规避或绕开防火墙的入侵行为，以及防火墙内部本地局域网正在发生的入侵行为。及防火墙内部本地局域网正在发生的入侵行为。n关键问题：关键问题：n对可能被攻击的资产进行保护；对可能被攻击的资产进行保护；n如果某个事故不需要应急响应服务，那就保护资源使其得到最大化利用；如果某个事故不需要应急响应服务，那就保护资源使其得到最大化利用；n遵循政府或其他相关法律法规；遵循政府或其他相关法律法规；n防止你的系统被用于攻击其他系统；防止你的系统被用于攻击其他系统；n尽可能地降低潜在的负面影响。尽可能地降低潜在的负面影响。n通常位于独立的网段，对该网络段的通信进行监控。通常位于独立的网段，对该网络段的通信进行监控。n网络数据包的签名匹配：网络数据包的签名匹配：n字符串签名字符串签名n端口签名端口签名n报头状态签名报头状态签名n被动地获取数据，能够在不消耗网络或主机资源的情况下提供被动地获取数据，能够在不消耗网络或主机资源的情况下提供可靠的实时信息。可靠的实时信息。n问题：无法检测到攻击者通过终端连接到主机上对主机的攻击。问题：无法检测到攻击者通过终端连接到主机上对主机的攻击。n使用主机上的小程序监控操作系统的行为是否正常，并在检测使用主机上的小程序监控操作系统的行为是否正常，并在检测到异常时写日志文件或触发警报。到异常时写日志文件或触发警报。nHIDSHIDS的特征：的特征：n对系统关键文件的访问和变动进行监控，对用户权限的变动进行监控；对系统关键文件的访问和变动进行监控，对用户权限的变动进行监控；n发现内部可信人员攻击的能力比发现内部可信人员攻击的能力比NIDSNIDS强；强；n检测源自外部的攻击能力相对较强；检测源自外部的攻击能力相对较强；n通过配置可以检测被监控主机上所有的网络数据包、连接尝试或登录尝通过配置可以检测被监控主机上所有的网络数据包、连接尝试或登录尝试，包括拨号尝试或其他与网络无关的通信端口。试，包括拨号尝试或其他与网络无关的通信端口。n通常位于独立的网段，对该网络段的通信进行监控。通常位于独立的网段，对该网络段的通信进行监控。n网络数据包的签名匹配：网络数据包的签名匹配：n字符串签名字符串签名n端口签名端口签名n报头状态签名报头状态签名n被动地获取数据，能够在不消耗网络或主机资源的情况下提供被动地获取数据，能够在不消耗网络或主机资源的情况下提供可靠的实时信息。可靠的实时信息。n问题：无法检测到攻击者通过终端连接到主机上对主机的攻击。问题：无法检测到攻击者通过终端连接到主机上对主机的攻击。n系统中存储了用于刻画攻击的签名或属性以便参考。当从主机系统中存储了用于刻画攻击的签名或属性以便参考。当从主机审计日志或网络数据包监控获取到事件的相关数据时，这些数审计日志或网络数据包监控获取到事件的相关数据时，这些数据会与攻击签名数据库进行对比。据会与攻击签名数据库进行对比。n基于签名的入侵检测系统的优势：基于签名的入侵检测系统的优势：n误报率低；误报率低；n警报格式是标准化的，安全人员容易理解；警报格式是标准化的，安全人员容易理解；n系统是资源密集型的；系统是资源密集型的；n由于有关攻击的知识非常集中，因此那些新的、特殊的原始攻击往往无由于有关攻击的知识非常集中，因此那些新的、特殊的原始攻击往往无法被发现。法被发现。n异常统计或基于行为的入侵检测系统基于已经获取的用户行为异常统计或基于行为的入侵检测系统基于已经获取的用户行为模式，动态地检测异常行为，并在异常行为发生时触发报警。模式，动态地检测异常行为，并在异常行为发生时触发报警。n使用基于异常的检测方法，入侵检测系统可对正在被监控的主使用基于异常的检测方法，入侵检测系统可对正在被监控的主机或网络的正常使用情况进行定义并获取数据。使用这种方法机或网络的正常使用情况进行定义并获取数据。使用这种方法能够检测到新的攻击，因为它们导致了异常的系统统计。能够检测到新的攻击，因为它们导致了异常的系统统计。n基于异常统计的入侵检测系统的优势：基于异常统计的入侵检测系统的优势：n系统可以动态地适应新的、特殊的原始攻击；系统可以动态地适应新的、特殊的原始攻击；n相对于基于知识的入侵检测系统而言，基于行为的入侵检测系统不依赖相对于基于知识的入侵检测系统而言，基于行为的入侵检测系统不依赖具体的操作系统；具体的操作系统；n能够帮助检测那些实际上没有利用任何安全漏洞的特权滥用攻击。能够帮助检测那些实际上没有利用任何安全漏洞的特权滥用攻击。n入侵者目标类型增多，入侵者能力提高，工具复杂度提高，攻击类型增多，使入侵者目标类型增多，入侵者能力提高，工具复杂度提高，攻击类型增多，使用更加复杂、精细和创新的攻击场景；用更加复杂、精细和创新的攻击场景；n使用加密消息传输恶意消息；使用加密消息传输恶意消息；n需要跨基础设施环境内部的各种技术与各种策略进行数据的协同与交互；需要跨基础设施环境内部的各种技术与各种策略进行数据的协同与交互；n日益增加的网络流量；日益增加的网络流量；n缺乏被广泛接受的入侵检测术语和概念结构；缺乏被广泛接受的入侵检测术语和概念结构；n入侵检测系统市场的波动性导致对入侵检测系统的购买和维护难度增大；入侵检测系统市场的波动性导致对入侵检测系统的购买和维护难度增大；n在采用不正确的自动化响应操作时所带来的固有风险；在采用不正确的自动化响应操作时所带来的固有风险；n针对入侵检测系统自身的攻击；针对入侵检测系统自身的攻击；n难以接受的高误报率和高漏报率，难以判断准确的攻击行为；难以接受的高误报率和高漏报率，难以判断准确的攻击行为；n缺少客观的入侵检测系统评估指标与测试信息；缺少客观的入侵检测系统评估指标与测试信息；n绝大多数计算基础设施并不是为了安全运行而设计的。绝大多数计算基础设施并不是为了安全运行而设计的。