信息與網(wǎng)絡(luò)安全教學(xué)課件作者程光第十一章

入侵檢測(cè)的基本原理和結(jié)構(gòu)入侵檢測(cè)的分類入侵檢測(cè)的技術(shù)指標(biāo)入侵檢測(cè)的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)的實(shí)例第11章入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)系統(tǒng)（Intrusion-detectionsystem，IDS）就是采用入侵檢測(cè)技術(shù)的系統(tǒng)。目前主要的網(wǎng)絡(luò)安全技術(shù)有IDS、防火墻、掃描器、VPN和防病毒技術(shù)。四種網(wǎng)絡(luò)安全技術(shù)的對(duì)比優(yōu)點(diǎn)局限性IDS實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全狀況誤報(bào)警，緩慢攻擊，新的攻擊模式防火墻可簡(jiǎn)化網(wǎng)絡(luò)管理，產(chǎn)品成熟無(wú)法處理網(wǎng)絡(luò)內(nèi)部的攻擊Scanner簡(jiǎn)單可操作，幫助系統(tǒng)管理員和安全服務(wù)人員解決實(shí)際問(wèn)題并不能真正掃描漏洞VPN保護(hù)公網(wǎng)上的內(nèi)部通信可視為防火墻上的一個(gè)漏洞防病毒針對(duì)文件與郵件，產(chǎn)品成熟功能單一入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)的定義是入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵檢測(cè)的概念。從1984年到1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL的PeterNeumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型（IntrusionDetectionExpertSystem，IDES）。1990，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了網(wǎng)絡(luò)安全監(jiān)測(cè)器（NetworkSecurityMonitor，NSM）。入侵檢測(cè)系統(tǒng)概述審計(jì)數(shù)據(jù)源策略規(guī)則模式匹配器輪廓特征引擎異常檢測(cè)器警告/報(bào)告產(chǎn)生器IDES結(jié)構(gòu)框架入侵檢測(cè)系統(tǒng)術(shù)語(yǔ)ALERT（警報(bào)）當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí)，IDS系統(tǒng)將發(fā)布一個(gè)alert信息通知系統(tǒng)管理員。Anomaly（異常）一個(gè)基于anomaly（異常）的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，IDS就會(huì)告警。自動(dòng)響應(yīng)

指可以通過(guò)重新配置路由器和防火墻，拒絕那些來(lái)自同一地址的信息流；并通過(guò)在網(wǎng)絡(luò)上發(fā)送reset包切斷連接。

Signature（特征）

IDS的核心是攻擊特征，它使IDS在事件發(fā)生時(shí)觸發(fā)。

Promiscuous（混雜模式）如果網(wǎng)絡(luò)接口是混雜模式，就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地。

入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)交換機(jī)交換機(jī)防火墻防火墻路由器Internet基于網(wǎng)絡(luò)的IDS基于主機(jī)的IDS內(nèi)網(wǎng)基于網(wǎng)絡(luò)的IDSWWW服務(wù)器FTP服務(wù)器郵件服務(wù)器入侵檢測(cè)系統(tǒng)原理示意圖外部網(wǎng)絡(luò)DMZ區(qū)域內(nèi)部網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件：（1）信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。信息收集的來(lái)源：網(wǎng)絡(luò)流量日志，系統(tǒng)或網(wǎng)絡(luò)的日志文件，網(wǎng)絡(luò)流量、系統(tǒng)目錄和文件的異常變化，程序執(zhí)行中的異常行為等。（2）信息分析信息分析往往用于事后分析，包括：模式匹配、統(tǒng)計(jì)分析、完整性分析等。（3）結(jié)果處理結(jié)果處理的作用在于報(bào)警和響應(yīng)，報(bào)警就是通知管理員，產(chǎn)生一個(gè)正式的警報(bào)，而響應(yīng)就是對(duì)警報(bào)的安全事件的處理。入侵檢測(cè)的基本原理和結(jié)構(gòu)入侵檢測(cè)的分類入侵檢測(cè)的技術(shù)指標(biāo)入侵檢測(cè)的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)的實(shí)例目錄入侵檢測(cè)系統(tǒng)分類從技術(shù)上，入侵檢測(cè)分為兩類基于標(biāo)志（signature-based）又叫做基于規(guī)則（rule-based）基于規(guī)則的檢測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫(kù)，對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫(kù)必須不斷更新。基于異常情況（anomaly-based）基于異常的檢測(cè)技術(shù)則無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣泛、甚至未發(fā)覺(jué)的攻擊。在兩種檢測(cè)技術(shù)的基礎(chǔ)上形成了兩種不同形式的檢測(cè)模型：入侵檢測(cè)可以分為異常檢測(cè)模型（AnomalyDetection)和誤用檢測(cè)模型（MisuseDetection)。入侵檢測(cè)系統(tǒng)分類從技術(shù)上，入侵檢測(cè)分為兩類異常檢測(cè)模型檢測(cè)與可接受行為之間的偏差。其效率取決于用戶輪廓的完備性和監(jiān)控的頻率。異常入侵檢測(cè)方法：統(tǒng)計(jì)異常檢測(cè)、基于特征選擇異常檢測(cè)、基于貝葉斯推理異常檢測(cè)、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)、基于模式預(yù)測(cè)異常檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)、基于貝葉斯聚類異常檢測(cè)、基于機(jī)器學(xué)習(xí)異常檢測(cè)、基于數(shù)據(jù)挖掘異常檢測(cè)、基于誤用的入侵檢測(cè)。監(jiān)控量化比較判定修正異常檢測(cè)過(guò)程入侵檢測(cè)系統(tǒng)分類從技術(shù)上，入侵檢測(cè)分為兩類誤用檢測(cè)模型前提是所有的入侵行為都有可被檢測(cè)到的特征。主要思想是通過(guò)某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為。誤用入侵檢測(cè)方法主要有：基于條件概率誤用檢測(cè)、基于專家系統(tǒng)誤用檢測(cè)、基于狀態(tài)遷移誤用檢測(cè)、基于鍵盤監(jiān)控誤用檢測(cè)、基于模型誤用檢測(cè)、基于誤用的入侵檢測(cè)。特點(diǎn)是錯(cuò)報(bào)的概率比較低，但是漏報(bào)的概率比較高。誤用檢測(cè)過(guò)程監(jiān)控特征提取匹配判定入侵檢測(cè)系統(tǒng)分類按照數(shù)據(jù)來(lái)源分類基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)監(jiān)視與分析主機(jī)的審計(jì)記錄，由于內(nèi)部人員的威脅正變得更重要，基于主機(jī)入侵檢測(cè)主要發(fā)現(xiàn)特權(quán)濫用、關(guān)鍵數(shù)據(jù)的訪問(wèn)及修改、安全配置的變化等威脅。該系統(tǒng)有兩種工作方式：集中式和分布式，集中式功能主要有：警報(bào)、監(jiān)視、毀壞情況評(píng)估、遵從性分析等。存在問(wèn)題:能否及時(shí)采集到審計(jì)記錄？如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng)？入侵檢測(cè)系統(tǒng)分類按照數(shù)據(jù)來(lái)源分類基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)，主機(jī)資源消耗少，提供對(duì)網(wǎng)絡(luò)通用的保護(hù)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器（Sensor)組成，傳感器向中央控制臺(tái)報(bào)告數(shù)據(jù)。存在問(wèn)題：如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？配置/管理網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)入侵分析引擎器傳感器傳感器分析結(jié)果入侵檢測(cè)的基本原理和結(jié)構(gòu)入侵檢測(cè)的分類入侵檢測(cè)的技術(shù)指標(biāo)入侵檢測(cè)的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)的實(shí)例目錄入侵檢測(cè)系統(tǒng)的技術(shù)指標(biāo)誤報(bào)所謂入侵檢測(cè)系統(tǒng)誤報(bào)是指系統(tǒng)中的檢測(cè)算法將正常的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)成了攻擊。產(chǎn)生誤報(bào)的若干原因在基于規(guī)則的入侵檢測(cè)系統(tǒng)中，管理員對(duì)規(guī)則的定義不夠嚴(yán)禁可能導(dǎo)致產(chǎn)生誤報(bào)入侵檢測(cè)系統(tǒng)中采用異常檢測(cè)模型，則產(chǎn)生誤報(bào)的可能性將大大增加。在誤用檢測(cè)模型中，外部攻擊者只需要構(gòu)建基于入侵規(guī)則的數(shù)據(jù)報(bào)文，就可以形成對(duì)入侵檢測(cè)系統(tǒng)的攻擊，產(chǎn)生大量的誤報(bào)信息。降低誤報(bào)的技術(shù)手段將傳統(tǒng)的基于特征的技術(shù)和協(xié)議分析技術(shù)相結(jié)合將基于異常的技術(shù)和傳統(tǒng)的基于特征的技術(shù)相結(jié)合強(qiáng)化IDS的安全管理功能入侵檢測(cè)系統(tǒng)的技術(shù)指標(biāo)漏報(bào)與入侵檢測(cè)誤報(bào)相比，漏報(bào)導(dǎo)致的損失更加嚴(yán)重。漏報(bào)產(chǎn)生的原因基于誤用檢測(cè)模型的入侵檢測(cè)系統(tǒng)，由于規(guī)則不全或者規(guī)則庫(kù)的更新不及時(shí)基于異常檢測(cè)模型的入侵檢測(cè)系統(tǒng)由于不能正確界定異常和正常的現(xiàn)象減少漏報(bào)的措施及時(shí)更新規(guī)則庫(kù)，保證規(guī)則庫(kù)保持為最新?tīng)顟B(tài)根據(jù)內(nèi)部網(wǎng)絡(luò)的特點(diǎn)和相關(guān)管理維護(hù)經(jīng)驗(yàn)，定制適合內(nèi)部網(wǎng)絡(luò)的相關(guān)規(guī)則正確定義異常檢測(cè)模型中的正常和異常情況，采用人工干預(yù)等方法和手段，提高異常檢測(cè)模型的識(shí)別能力入侵檢測(cè)系統(tǒng)的技術(shù)指標(biāo)管理能力需要控制臺(tái)和日志分析程序來(lái)管理和分析多個(gè)網(wǎng)絡(luò)引擎及它們產(chǎn)生的警報(bào)；網(wǎng)絡(luò)設(shè)備產(chǎn)品提供商，為用戶提供遠(yuǎn)程管理功能；存在問(wèn)題：用戶只能被動(dòng)地得到信息，而不能主動(dòng)控制遠(yuǎn)程的網(wǎng)絡(luò)引擎

。健壯性程序本身在各種網(wǎng)絡(luò)環(huán)境下都能正常工作；程序各個(gè)模塊之間的通信能夠不被破壞，不可仿冒。入侵檢測(cè)的基本原理和結(jié)構(gòu)入侵檢測(cè)的分類入侵檢測(cè)的技術(shù)指標(biāo)入侵檢測(cè)的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)的實(shí)例目錄標(biāo)準(zhǔn)化和發(fā)展方向 目前，對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化的工作有兩個(gè)組織：IETF的入侵檢測(cè)工作組(IDWG，/html.charters/OLD/idwg-charter.html)和通用入侵檢測(cè)框架(CIDF，/cidf/)。 從進(jìn)展?fàn)顩r來(lái)看，目前IDWG基本形成了4個(gè)RFC文檔，其中有3個(gè)文檔實(shí)在2007年3月從草案正式被接受為RFC文檔的，歷時(shí)數(shù)年之久，相當(dāng)不容易；但是CIDF的進(jìn)展就不盡如人意了，目前該項(xiàng)目組的工作基本處于停滯狀態(tài)，其思想和理念也沒(méi)有得到很好的貫徹和執(zhí)行。標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)工作組IDWG的主要工作是定義相關(guān)的數(shù)據(jù)格式和共享信息的交換過(guò)程，用于入侵檢測(cè)與響應(yīng)（IntrusionDetectionandResponse，IDR）系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享。IDWG已經(jīng)形成了四份RFC文檔，主要包括三部分內(nèi)容：隧道輪廓（TunnelProfile，RFC3620）、入侵檢測(cè)消息交換格式（IDMEF，RFC4766，RFC4765）以及入侵檢測(cè)交換協(xié)議（IDXP，RFC4767）。標(biāo)準(zhǔn)化和發(fā)展方向通用入侵檢測(cè)框架

CIDF所做的工作主要包括四部分：IDS的體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和應(yīng)用編程接口API。提出了一個(gè)通用模型CIDF將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Eventgenerators）、事件分析器（Eventanalyzers）、響應(yīng)單元（Responseunits）、事件數(shù)據(jù)庫(kù)（Eventdatabases）。CIDF的總體目標(biāo)是實(shí)現(xiàn)軟件的復(fù)用和IDR（入侵檢測(cè)與響應(yīng)）組件之間的互操作性。事件產(chǎn)生器響應(yīng)單元事件數(shù)據(jù)庫(kù)事件分析器

CIDF的體系結(jié)構(gòu)原始事件響應(yīng)事件標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)的技術(shù)難點(diǎn)存在問(wèn)題誤報(bào)和漏報(bào)的矛盾隱私和安全的矛盾被動(dòng)分析與主動(dòng)發(fā)現(xiàn)的矛盾海量信息與分析代價(jià)的矛盾功能性和可管理性的矛盾單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)絡(luò)速度提高，其需滿足高速大規(guī)模網(wǎng)絡(luò)應(yīng)用需求標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì)分析技術(shù)的改進(jìn)入侵檢測(cè)分析方法主要有：統(tǒng)計(jì)分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。目前最好綜合使用多種檢測(cè)技術(shù)，而不只是依靠傳統(tǒng)的統(tǒng)計(jì)分析和模式匹配技術(shù)。另外，規(guī)則庫(kù)是否及時(shí)更新也和檢測(cè)的準(zhǔn)確程度相關(guān)。內(nèi)容回卷和網(wǎng)絡(luò)審計(jì)功能的引入內(nèi)容恢復(fù)即在協(xié)議分析的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)中發(fā)生的行為加以完整的重組和記錄，網(wǎng)絡(luò)中發(fā)生的任何行為都逃不過(guò)它的監(jiān)視。網(wǎng)絡(luò)審計(jì)即對(duì)網(wǎng)絡(luò)中所有的連接事件進(jìn)行記錄。集成網(wǎng)絡(luò)分析和管理功能入侵檢測(cè)產(chǎn)品集成網(wǎng)管功能、掃描器(Scanner)、嗅探器(Sniffer)等功能是以后發(fā)展的方向標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)發(fā)展趨勢(shì)提高安全性和易用性對(duì)易用性的要求也日益增強(qiáng)；全中文的圖形界面、自動(dòng)的數(shù)據(jù)庫(kù)維護(hù)、多樣的報(bào)表輸出，這些都是入侵產(chǎn)品以后繼續(xù)發(fā)展細(xì)化的趨勢(shì)。改進(jìn)對(duì)高速網(wǎng)絡(luò)的處理方法對(duì)大數(shù)據(jù)量處理的要求，入侵檢測(cè)的性能要求也逐步提高，出現(xiàn)了千兆入侵檢測(cè)等產(chǎn)品。網(wǎng)絡(luò)數(shù)據(jù)分流也是一個(gè)很好的解決方案，性價(jià)比也較好，是國(guó)際上較通用的一種作法。入侵檢測(cè)的基本原理和結(jié)構(gòu)入侵檢測(cè)的分類入侵檢測(cè)的技術(shù)指標(biāo)入侵檢測(cè)的標(biāo)準(zhǔn)化和發(fā)展方向入侵檢測(cè)系統(tǒng)的實(shí)例目錄LIDSLIDS全稱Linux入侵檢測(cè)系統(tǒng)，是增強(qiáng)Linux核心的安全的補(bǔ)丁程序。它主要應(yīng)用了一種安全參考模型和強(qiáng)制訪問(wèn)控制（MandatoryAccessControl）模型。LIDS能夠保護(hù)重要的系統(tǒng)文件、重要的系統(tǒng)進(jìn)程、并能阻止對(duì)系統(tǒng)配制信息的改變和對(duì)設(shè)備的讀寫操作。LIDSLIDS主要功能保護(hù)檢測(cè)響應(yīng)LIDS的安裝安裝LIDS安裝lids管理工具LIDS的配置SNORTSnort是一個(gè)開放源碼的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以免費(fèi)獲得（）。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式就是snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后顯示在用戶的控制臺(tái)上。SNORT規(guī)則Snort的規(guī)則存儲(chǔ)在文本文件中，并可以用文本編輯器修改。規(guī)則以類別分組，不同類別的規(guī)則存儲(chǔ)在不同的文件中。規(guī)則實(shí)例

alerttcpanyany->/24111(content:"|000186a5|";msg:"mountdaccess";)SNORTSnort安裝使用SNORT需要安裝的軟件工具包括：SNORT、MySQL、APACHE、PHP、BASE、OlinkMaster；Snort在Debian操作系統(tǒng)下的安裝。1.首先配置好source.list#deb/debianetchmaincontribnon-free#deb-src/debianetchmaincontribnon-free2.安裝需要添加的基本模塊#apt-getinstallapache-sslapache-commonlibapache-mod-php5mysql-servermysql-commonmysql-clientphp5-mysqllibnet1libnet1-devlibpcre3libpcre3-devautoconfautomake1.9libpcap0.8libpcap0.8-devlibmysqlclient15-devphp5-gdlibphp-adodbvimgccmakephp5-clilibtool

libssl-devgcc-4.1g++-4.1#apt-getinstallzlib1gzlib-binzlib1g-devflexbison(/usr/share/adodb不再安裝在/usr/share/adodb下，而是安裝在/usr/share/php/adodb)SNORTSnort安裝Snort在Debian操作系統(tǒng)下的安裝。

3.安裝snort和配置mysql#apt-getinstallsnort#vi/usr/share/doc/snort-mysql/README-database.Debian#mysql--user=rootmysql>CREATEDATABASEsnort_db;>UPDATEuserSETPassword=PASSWORD('amionszmz')WHEREuser='snort';>GRANTallprivilegesonsnort_db.*tosnort@localhost;>GRANTallprivilegesonsnort_db.*tosnort;>flushprivileges;>exit#cd/usr/share/doc/snort-mysql#zcat

create_mysql.gz|mysql-usnortsnort_dbSNORTSnort安裝Snort在Debian操作系統(tǒng)下的安裝。#cd/etc/snort/;mvdb-pending-configdb-pending-config.bak#vi/etc/snort/snort.conf

添加

outputdatabase:log,mysql,user=snortdbname=snort_db#/etc/init.d/snortstart4.安裝和配置BASE#tarxzvf/home/amions/base-1.3.6.tar.gz#mv/home/amions/base-1.3.6/var/www#chown

root.root/var/www/base-1.3.6-Rf#cd/var/www/base-1.3.6/sql#zcat

create_base_tbls_mysql.sql|mysql-usnortsnort_db#mv/var/www/base-1.3.6/var/www/base訪問(wèn)http://ip/base設(shè)置base#mv./base_conf.php/var/www/base一個(gè)基于異常檢測(cè)實(shí)例異常檢測(cè)測(cè)度假設(shè)正常流量行為特征是s（t），異常流量特征是n（t），故實(shí)際測(cè)量到的流量行為特征是y（t）=s（t）＋n（t）。

假設(shè)1.異常流量行為n（t）是一種偶然行為，n（t）和s（t）具有明顯差異。根據(jù)假設(shè)1，n（t）可以通過(guò)統(tǒng)計(jì)數(shù)學(xué)工具分離并加以識(shí)別。假設(shè)1也可能會(huì)存在一些不適應(yīng)的情況：

1）如果異常流量行為n（t）不是一種偶然行為，那么統(tǒng)計(jì)分析過(guò)程中，異常行為將會(huì)作為正常行為；

2）如果n（t）和s（t）沒(méi)有明顯差異，異常行為特征n（t）被正常行為s（t）所掩蓋，不能被檢測(cè)。一個(gè)基于異常檢測(cè)實(shí)例異常檢測(cè)測(cè)度圖示了CERNET網(wǎng)絡(luò)某日內(nèi)受到的ICMP掃描攻擊的觀測(cè)結(jié)果，可以看出，ICMP請(qǐng)求報(bào)文和應(yīng)答報(bào)文的比值基本穩(wěn)定在10以下，但其中出現(xiàn)2次大規(guī)模ICMP掃描攻擊使得兩者之間比值劇增。一個(gè)基于異常檢測(cè)實(shí)例實(shí)時(shí)抽樣測(cè)量平均吞吐量表示為其中，Tn是前n個(gè)單位時(shí)間內(nèi)平均抽樣吞吐量的累加和（T0=0），tn＋1是第n+1個(gè)單位時(shí)間內(nèi)平均抽樣吞吐量，使用Tn＋1代替Tn是存儲(chǔ)信息，因此新的平均抽樣吞吐量為

對(duì)于n+1個(gè)數(shù)據(jù)值，樣本標(biāo)準(zhǔn)差對(duì)總體標(biāo)準(zhǔn)差的無(wú)偏估計(jì)定義為：

一個(gè)基于異常檢測(cè)實(shí)例實(shí)時(shí)抽樣測(cè)量

對(duì)于每個(gè)測(cè)度，系統(tǒng)只要維護(hù)三個(gè)值：樣本均值、樣本累加和、樣本平方累加和。

標(biāo)準(zhǔn)差能通過(guò)計(jì)算：設(shè)