第 01 講 計(jì)算機(jī)入侵檢測系統(tǒng)

計(jì)算機(jī)入侵檢測系統(tǒng)

（IDS）

內(nèi)容提要入侵檢測的概念及功能入侵檢測的分類和體系結(jié)構(gòu)入侵檢測的分析技術(shù)入侵檢測的響應(yīng)、恢復(fù)、模型與部署小結(jié)指出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息——預(yù)警提出了對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，提出利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。概念的誕生入侵檢測的開山之作1980年4月，JamesP.Anderson為美國空軍做了一份題為《ComputerSecurityThreatMonitoringandSurveillance》（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）入侵檢測研究發(fā)展

Denning于1986年發(fā)表的論文“入侵檢測模型”被公認(rèn)為是IDS領(lǐng)域的又一篇開山之作。1990年是入侵檢測系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了一套網(wǎng)絡(luò)入侵檢測系統(tǒng)（NetworkSecurityMonitor）。

從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展概念的誕生：入侵檢測的概念內(nèi)網(wǎng)Internet入侵檢測即是對(duì)入侵行為的發(fā)覺

入侵檢測系統(tǒng)是入侵檢測的軟件與硬件的有機(jī)組合入侵檢測系統(tǒng)是處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控入侵檢測系統(tǒng)是不僅能檢測來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)入侵檢測的定義實(shí)時(shí)監(jiān)控非法入侵的過程示意圖報(bào)警日志記錄攻擊檢測記錄入侵過程重新配置防火墻路由器內(nèi)部入侵入侵檢測記錄終止入侵IDS監(jiān)控非法入侵的案例2001年4月，廣東某ISP和某數(shù)據(jù)分局的網(wǎng)絡(luò)系統(tǒng)受到入侵攻擊。IDS的相關(guān)術(shù)語

入侵是指試圖破壞一個(gè)資源的完整性、機(jī)密性和可獲得性的活動(dòng)集合入侵檢測是對(duì)正在發(fā)生或已經(jīng)發(fā)生的入侵行為的一種識(shí)別的過程。入侵監(jiān)測系統(tǒng)虛警檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤漏警檢測系統(tǒng)未能檢測出真正的入侵行為

入侵檢測系統(tǒng)包括三個(gè)功能部件（1）信息收集部件（2）信息分析部件（3）結(jié)果處理部件入侵檢測的職責(zé)IDS系統(tǒng)主要有兩大職責(zé)：實(shí)時(shí)檢測和安全審計(jì)，具體包含4個(gè)方面的內(nèi)容識(shí)別黑客常用入侵與攻擊監(jiān)控網(wǎng)絡(luò)異常通信鑒別對(duì)系統(tǒng)漏洞和后門的利用完善網(wǎng)絡(luò)安全管理從不知到有知入侵檢測發(fā)揮的作用技術(shù)層面：對(duì)具體的安全技術(shù)人員，可以利用IDS做為工具來發(fā)現(xiàn)安全問題、解決問題。入侵檢測發(fā)揮的作用管理層面：對(duì)安全管理人員來說，是可以把IDS做為其日常管理上的有效手段。從被動(dòng)到主動(dòng)入侵檢測發(fā)揮的作用領(lǐng)導(dǎo)層面：對(duì)安全主管領(lǐng)導(dǎo)來說，是可以把IDS做為把握全局一種有效的方法，目的是提高安全效能。從事后到事前入侵檢測發(fā)揮的作用意識(shí)層面：對(duì)政府或者大的行業(yè)來說，是可以通過IDS來建立一套完善的網(wǎng)絡(luò)預(yù)警與響應(yīng)體系，減小安全風(fēng)險(xiǎn)。從預(yù)警到保障監(jiān)控用戶和系統(tǒng)的活動(dòng)查找非法用戶和合法用戶的越權(quán)操作

檢測系統(tǒng)配置的正確性和安全漏洞評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性識(shí)別攻擊的活動(dòng)模式并向網(wǎng)管人員報(bào)警對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反政策的用戶活動(dòng)檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性入侵檢測系統(tǒng)的功能入侵檢測系統(tǒng)模型(Denning)入侵檢測系統(tǒng)模型(CIDF)入侵檢測系統(tǒng)模型(CIDF)事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元：對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡單的報(bào)警。事件數(shù)據(jù)庫：存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

二、入侵檢測的分類–基于網(wǎng)絡(luò)入侵檢測系統(tǒng)–基于主機(jī)入侵檢測系統(tǒng)q檢測時(shí)效分類–在線入侵檢測–離線入侵檢測q檢測所應(yīng)用的技術(shù)–基于異常的IDS

–基于誤用的IDS

系統(tǒng)結(jié)構(gòu)–集中式IDS–分布式IDS二、入侵檢測的分類(按照體系結(jié)構(gòu))二、入侵檢測的分類(按照工作方式)基于網(wǎng)絡(luò)入侵檢測系統(tǒng)內(nèi)網(wǎng)Internet是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備通過網(wǎng)絡(luò)適配器捕獲數(shù)據(jù)包并分析數(shù)據(jù)包根據(jù)判斷方法分為基于知識(shí)的數(shù)據(jù)模式判斷和基于行為的行為判斷方法二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)基于網(wǎng)絡(luò)入侵檢測系統(tǒng)內(nèi)網(wǎng)Internet能夠檢測超過授權(quán)的非法訪問IDS發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行

配置簡單二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)勢內(nèi)網(wǎng)Internet實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)測網(wǎng)絡(luò)系統(tǒng)的非法行為不占用其他計(jì)算機(jī)系統(tǒng)的資源自身的安全性比較高可用于實(shí)時(shí)檢測系統(tǒng)，也可以用于記錄審計(jì)系統(tǒng)二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的局限性內(nèi)網(wǎng)Internet具有網(wǎng)絡(luò)局限，只能檢查單一網(wǎng)段的通信通常采用特征檢測的方法無法檢測加密的數(shù)據(jù)包資源和處理能力的局限無法檢測系統(tǒng)級(jí)的入侵二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)一款基于網(wǎng)絡(luò)入侵檢測系統(tǒng)SessionWall二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)開放源碼軟件內(nèi)網(wǎng)InternetSnort、NFR、Shadow入侵檢測軟件等，其中Snort的社區(qū)()非常活躍，其入侵特征更新速度與研發(fā)的進(jìn)展已超過了大部分商品化產(chǎn)品

二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)Snort二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)主界面里顯示的信息包括：觸發(fā)安全規(guī)則的網(wǎng)絡(luò)流量中各種協(xié)議所占的比例警報(bào)的數(shù)量入侵主機(jī)目標(biāo)主機(jī)的IP地址端口號(hào)等

Snort二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)一天之內(nèi)的報(bào)警頻率一周報(bào)警頻率Snort二、入侵檢測的分類(基于網(wǎng)絡(luò)的IDS)一天之內(nèi)的報(bào)警頻率

一周報(bào)警頻率

基于主機(jī)的入侵檢測內(nèi)網(wǎng)InternetHIDS是配置在被保護(hù)的主機(jī)上的，用來檢測針對(duì)主機(jī)的入侵和攻擊主要分析的數(shù)據(jù)包括主機(jī)的網(wǎng)絡(luò)連接狀態(tài)、審計(jì)日志、系統(tǒng)日志。二、入侵檢測的分類(基于主機(jī)的IDS)基于主機(jī)的入侵檢測的實(shí)現(xiàn)原理內(nèi)網(wǎng)Internet配置審計(jì)信息系統(tǒng)對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析(日志文件)二、入侵檢測的分類(基于主機(jī)的IDS)基于主機(jī)的入侵檢測系統(tǒng)的功能內(nèi)網(wǎng)二、入侵檢測的分類(基于主機(jī)的IDS)Internet能分辨出入侵者干了什么事：他們運(yùn)行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用?；谥鳈C(jī)的IDS與基于網(wǎng)絡(luò)的IDS相比通常能夠提供更詳盡的相關(guān)信息?；谥鳈C(jī)的IDS通常情況下比基于網(wǎng)絡(luò)的IDS誤報(bào)率要低，因?yàn)闄z測在主機(jī)上運(yùn)行的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多?；谥鳈C(jī)的入侵檢測的優(yōu)勢內(nèi)網(wǎng)二、入侵檢測的分類(基于主機(jī)的IDS)Internet能精確的判斷供給行為是否成功能監(jiān)控主機(jī)上特定用戶活動(dòng)和系統(tǒng)運(yùn)行情況

HIDS能檢測到NIDS無法檢測到的攻擊

HIDS能適用加密和交換的環(huán)境

不需要額外的硬件設(shè)備基于主機(jī)的入侵檢測的局限內(nèi)網(wǎng)二、入侵檢測的分類(基于主機(jī)的IDS)Internet

HIDS對(duì)被保護(hù)主機(jī)的性能和安全性會(huì)帶來一定的影響

HIDS的安全性會(huì)受到宿主機(jī)操作系統(tǒng)的限制

HIDS的數(shù)據(jù)源會(huì)受到審計(jì)系統(tǒng)限制被木馬化的系統(tǒng)內(nèi)核能騙過HIDS

維護(hù)/升級(jí)不方便NIDS和HIDS的主要差別二、NIDS和HIDS比較混合IDS二、入侵檢測的分類(混合IDS)基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機(jī)的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。

分布式入侵檢測系統(tǒng)（DIDS）二、入侵檢測的分類(分布式IDS)分布式入侵檢測系統(tǒng)（DIDS）二、入侵檢測的分類(分布式IDS)入侵檢測系統(tǒng)體系結(jié)構(gòu)事件產(chǎn)生器(Eventgenerators)事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。入侵檢測系統(tǒng)體系結(jié)構(gòu)事件分析器(Eventanalyzers)事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。事件數(shù)據(jù)庫(Eventdatabases)事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。入侵檢測系統(tǒng)體系結(jié)構(gòu)響應(yīng)單元(Responseunits)響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡單的報(bào)警。入侵檢測工作流程網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過濾一些數(shù)據(jù)包過濾程序的算法的重要性入侵檢測工作流程監(jiān)聽部分協(xié)議分析協(xié)議IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI入侵檢測工作流程數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測系統(tǒng)的核心快速的模式匹配算法入侵檢測工作流程引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall入侵檢測工作流程三、入侵檢測的主要技術(shù)Internet特征檢測統(tǒng)計(jì)專家系統(tǒng)三、入侵檢測的主要技術(shù)特征檢測特征檢測對(duì)已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。其檢測方法上與計(jì)算機(jī)病毒的檢測方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測的準(zhǔn)確率較高，但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無能為力?；诮y(tǒng)計(jì)檢測主要是通過統(tǒng)計(jì)模型對(duì)審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等統(tǒng)計(jì)量進(jìn)行統(tǒng)計(jì),如果出現(xiàn)異常,即報(bào)警。三、入侵檢測的主要技術(shù)統(tǒng)計(jì)檢測模型為：統(tǒng)計(jì)檢測

1、操作模型:該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，舉例來說，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊；

2、方差模型，計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測量值超過置信區(qū)間的范圍時(shí)表明有可能是異常；三、入侵檢測的主要技術(shù)統(tǒng)計(jì)檢測模型

3、多元模型，操作模型的擴(kuò)展，通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測；

4、馬爾柯夫過程模型，將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件；

5、時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。

三、入侵檢測的主要技術(shù)專家系統(tǒng)規(guī)則，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu)），條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫的完備性包俘獲在一個(gè)共享式網(wǎng)絡(luò)，可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來刺探網(wǎng)絡(luò)情報(bào)目前有大量商業(yè)的、免費(fèi)的監(jiān)聽工具，俗稱嗅探器(sniffer)三、高級(jí)檢測技術(shù)文件完整性檢查三、高級(jí)檢測技術(shù)計(jì)算機(jī)免疫檢測三、高級(jí)檢測技術(shù)入侵誘騙技術(shù)三、高級(jí)檢測技術(shù)蜜罐技術(shù)概念三、高級(jí)檢測技術(shù)蜜罐技術(shù)概念三、高級(jí)檢測技術(shù)三、高級(jí)檢測技術(shù)蜜罐技術(shù)應(yīng)用舉例三、高級(jí)檢測技術(shù)蜜罐技術(shù)應(yīng)用舉例蜜罐的基本配置三、高級(jí)檢測技術(shù)蜜罐的基本配置三、高級(jí)檢測技術(shù)配置蜜罐的實(shí)例三、高級(jí)檢測技術(shù)配置蜜罐的實(shí)例三、高級(jí)檢測技術(shù)蜜罐的分類三、高級(jí)檢測技術(shù)低交互蜜罐三、高級(jí)檢測技術(shù)中交互蜜罐三、高級(jí)檢測技術(shù)高交互蜜罐三、高級(jí)檢測技術(shù)蜜罐的分類三、高級(jí)檢測技術(shù)蜜罐的特點(diǎn)三、高級(jí)檢測技術(shù)蜜罐的特點(diǎn)三、高級(jí)檢測技術(shù)蜜網(wǎng)的概念三、高級(jí)檢測技術(shù)蜜網(wǎng)的功能三、高級(jí)檢測技術(shù)四、入侵檢測的響應(yīng)與恢復(fù)Internet入侵檢測的歸宿應(yīng)是

有效反擊四、入侵檢測的響應(yīng)與恢復(fù)實(shí)時(shí)響應(yīng)當(dāng)事件出現(xiàn)時(shí)顯示攻擊的特征信息重新配置防火墻阻塞特定的TCP連接郵件，傳真，電話提示管理員啟動(dòng)其它程序來阻止攻擊SNMP陷阱生成報(bào)告應(yīng)急響應(yīng)案例q2003年1月25日中午12點(diǎn)，全國各ISP遭到攻擊q接到ISP的報(bào)告q分析確認(rèn)是一種新型的蠕蟲攻擊q公司進(jìn)入應(yīng)急響應(yīng)狀態(tài)q積極防御實(shí)驗(yàn)室會(huì)同上海、深圳技術(shù)人員約30多人對(duì)此蠕蟲進(jìn)行研究q國內(nèi)第一個(gè)抓到該蠕蟲的特征，升級(jí)入侵檢測事件庫q馬上通知CNCERT，在國際出入口進(jìn)行封堵q通過信息產(chǎn)業(yè)部通知大家進(jìn)行差殺，并在入侵檢測產(chǎn)品上監(jiān)測其事件變化。q最后，韓國、美國遭受很大損失，而我國各大ISP基本運(yùn)行正常四、入侵檢測的響應(yīng)與恢復(fù)被動(dòng)響應(yīng)屏幕告警通知事件日志Email通知手機(jī)短信、呼機(jī)信息

Windows消息

SNMP發(fā)送語音報(bào)警四、入侵檢測的響應(yīng)與恢復(fù)是指那些只向用戶提供信息而依靠用戶采取下一步行動(dòng)的響應(yīng)。主動(dòng)響應(yīng)撤銷連接隔離SYN/ACK響應(yīng)四、入侵檢測的響應(yīng)與恢復(fù)人工響應(yīng)IDS的性能指標(biāo)漏警率

沒有正確的識(shí)別某些入侵行為而未報(bào)警的概率虛警率

把系統(tǒng)的正常行為判為入侵行為的概率丟包率

IDS能處理的網(wǎng)絡(luò)流量IDS的技術(shù)異常檢測(anomalydetection)也稱為基于行為的檢測首先建立起用戶的正常使用模式，即知識(shí)庫標(biāo)識(shí)出不符合正常模式的行為活動(dòng)誤用檢測(misusedetection)也稱為基于特征的檢測建立起已知攻擊的知識(shí)庫判別當(dāng)前行為活動(dòng)是否符合已知的攻擊模式異常檢測比較符合安全的概念，但是實(shí)現(xiàn)難度較大正常模式的知識(shí)庫難以建立難以明確劃分正常模式和異常模式常用技術(shù)統(tǒng)計(jì)方法預(yù)測模式神經(jīng)網(wǎng)絡(luò)異常檢測技術(shù)及其性能

系統(tǒng)審計(jì)

用戶輪廓

正常活動(dòng)

低于閥值

超過閥值

入侵行為

異常檢測模型前提：入侵是異?；顒?dòng)的子集用戶輪廓(Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程監(jiān)控

量化比較判定

修正指標(biāo):漏報(bào)率低,誤報(bào)率高異常檢測技術(shù)及其性能異常檢測舉例異常檢測特點(diǎn)異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會(huì)消耗更多的系統(tǒng)資源誤用檢測目前研究工作比較多，并且已經(jīng)進(jìn)入實(shí)用建立起已有攻擊的模式特征庫難點(diǎn)在于：如何做到動(dòng)態(tài)更新，自適應(yīng)常用技術(shù)基于簡單規(guī)則的模式匹配技術(shù)基于專家系統(tǒng)的檢測技術(shù)基于狀態(tài)轉(zhuǎn)換分析的檢測技術(shù)基于神經(jīng)網(wǎng)絡(luò)檢測技術(shù)其他技術(shù)，如數(shù)據(jù)挖掘、模糊數(shù)學(xué)等誤用檢測模型誤用檢測技術(shù)及其性能前提：所有的入侵行為都有可被檢測到的特征攻擊特征庫:當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵過程監(jiān)控

特征提取匹配判定指標(biāo):誤報(bào)低、漏報(bào)高

誤用檢測技術(shù)及其性能誤用檢測舉例誤用檢測模型如果入侵特征與正常的用戶行能匹配，則系統(tǒng)會(huì)發(fā)生誤報(bào)；如果沒有特征能與某