第8章入侵檢測技術(shù)

1、入侵檢測技術(shù) 1 1 入侵檢測概述入侵檢測概述 2 2 入侵檢測原理入侵檢測原理 3 3 入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的關(guān)鍵技術(shù) 4 4 基于數(shù)據(jù)挖掘的智能化入侵檢測系基于數(shù)據(jù)挖掘的智能化入侵檢測系統(tǒng)設(shè)計統(tǒng)設(shè)計 1 1 入侵檢測概述入侵檢測概述入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。占資源以及惡意使用。入侵檢測（入侵檢測（Intrusion Detection）：通過從計算）：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分機網(wǎng)絡(luò)或計算機系統(tǒng)

2、的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。的行為和被攻擊的跡象。入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDS）：入侵檢測的軟件與硬）：入侵檢測的軟件與硬件的組合，是防火墻的合理補充，是防火墻之后件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門。的第二道安全閘門。1 1、入侵檢測的概念：模型、入侵檢測的概念：模型1 1、入侵檢測的概念：任務(wù)、入侵檢測的概念：任務(wù) 監(jiān)視、分析用戶及系統(tǒng)活動，查找非法用戶和合監(jiān)視、分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作；法用戶的越權(quán)操作； 系統(tǒng)構(gòu)造和弱點的審計，并提

3、示管理員修補漏洞；系統(tǒng)構(gòu)造和弱點的審計，并提示管理員修補漏洞； 識別反映已知進攻的活動模式并報警，能夠?qū)崟r識別反映已知進攻的活動模式并報警，能夠?qū)崟r對對 檢測到的入侵行為進行反應(yīng)；檢測到的入侵行為進行反應(yīng)； 異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；異常行為模式的統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。策略的行為。 1 1.2 2 研究入侵檢測的必要性研究入侵檢測的必要性因為訪問控制和保護模型本身存著在以下問題。因為訪問控制和保護模型本身存

4、著在以下問題。（1）弱口令問題。）弱口令問題。（2）靜態(tài)安全措施不足以保護安全對象屬性。）靜態(tài)安全措施不足以保護安全對象屬性。 （3）軟件的）軟件的Bug-Free近期無法解決。近期無法解決。 （4）軟件生命周期縮短和軟件測試不充分。）軟件生命周期縮短和軟件測試不充分。（5）系統(tǒng)軟件缺陷的修補工作復(fù)雜，而且源代碼大）系統(tǒng)軟件缺陷的修補工作復(fù)雜，而且源代碼大多數(shù)不公開，也缺乏修補多數(shù)不公開，也缺乏修補Bug的專門技術(shù)，導(dǎo)致修補的專門技術(shù)，導(dǎo)致修補進度太慢，因而計算機系統(tǒng)的不安全系統(tǒng)將持續(xù)一段進度太慢，因而計算機系統(tǒng)的不安全系統(tǒng)將持續(xù)一段時間。時間。 入侵檢測的主要目的有：識別入侵者；識別入侵檢測

5、的主要目的有：識別入侵者；識別入侵行為；檢測和監(jiān)視已成功的安全突破；為對入侵行為；檢測和監(jiān)視已成功的安全突破；為對抗措施即時提供重要信息。因而，入侵檢測是非抗措施即時提供重要信息。因而，入侵檢測是非常必要的，可以彌補傳統(tǒng)安全保護措施的不足。常必要的，可以彌補傳統(tǒng)安全保護措施的不足。 入侵檢測系統(tǒng)的主要功能是檢測，當(dāng)然還有入侵檢測系統(tǒng)的主要功能是檢測，當(dāng)然還有其他的功能選項，因而增加了計算機系統(tǒng)和網(wǎng)絡(luò)其他的功能選項，因而增加了計算機系統(tǒng)和網(wǎng)絡(luò)的安全性。的安全性。 使用入侵檢測系統(tǒng)有如下優(yōu)點：使用入侵檢測系統(tǒng)有如下優(yōu)點： 檢測防護部分阻止不了的入侵；檢測防護部分阻止不了的入侵； 檢測入侵的前兆；檢

6、測入侵的前兆； 對入侵事件進行歸檔；對入侵事件進行歸檔； 對網(wǎng)絡(luò)遭受的威脅程度進行評估；對網(wǎng)絡(luò)遭受的威脅程度進行評估； 對入侵事件進行恢復(fù)。對入侵事件進行恢復(fù)。 入侵檢測系統(tǒng)利用優(yōu)化匹配模式和統(tǒng)計學(xué)技術(shù)入侵檢測系統(tǒng)利用優(yōu)化匹配模式和統(tǒng)計學(xué)技術(shù)把傳統(tǒng)的電子數(shù)據(jù)處理和安全審查結(jié)合起來，已經(jīng)把傳統(tǒng)的電子數(shù)據(jù)處理和安全審查結(jié)合起來，已經(jīng)發(fā)展成為構(gòu)筑完整的現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的一個必不發(fā)展成為構(gòu)筑完整的現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的一個必不可少的部分?？缮俚牟糠?。2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據(jù)所采用的技術(shù)可以分為：1）異常檢測：異常檢測的假設(shè)是入侵者活動異常于正常主體的活動，建立正?；顒拥?/p>

7、“活動簡檔”，當(dāng)前主體的活動違反其統(tǒng)計規(guī)律時，認(rèn)為可能是“入侵”行為。2）特征檢測：特征檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據(jù)所監(jiān)測的對象來分：1）基于主機的入侵檢測系統(tǒng)（HIDS）：通過監(jiān)視與分析主機的審計記錄檢測入侵。能否及時采集到審計是這些系統(tǒng)的弱點之一，入侵者會將主機審計子系統(tǒng)作為攻擊目標(biāo)以避開入侵檢測系統(tǒng)。2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）：通過在共享網(wǎng)段上對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機提供嚴(yán)格的審計，對主機資源消耗少，并可以提供對網(wǎng)絡(luò)通用的保護而無

8、需顧及異構(gòu)主機的不同架構(gòu)。2 2、入侵檢測的分類、入侵檢測的分類一、什么是入侵檢測根據(jù)系統(tǒng)的工作方式分為：1）離線檢測系統(tǒng)：離線檢測系統(tǒng)是非實時工作的系統(tǒng)，它在事后分析審計事件，從中檢查入侵活動。2）在線檢測系統(tǒng)：在線檢測系統(tǒng)是實時聯(lián)機的檢測系統(tǒng)，它包含對實時網(wǎng)絡(luò)數(shù)據(jù)包分析，實時主機審計分析。其工作過程是實時入侵檢測在網(wǎng)絡(luò)連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。 2 2 入侵檢測原理入侵檢測原理 入侵檢測和其他檢測技術(shù)基于同樣的原理入侵檢測和其他檢測技術(shù)基

9、于同樣的原理，即從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)，即從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。據(jù)。 22.1 1 異常入侵檢測原理異常入侵檢測原理 構(gòu)筑異常檢測原理的入侵檢測系統(tǒng)，首先構(gòu)筑異常檢測原理的入侵檢測系統(tǒng)，首先要建立系統(tǒng)或用戶的正常行為模式庫，不屬于要建立系統(tǒng)或用戶的正常行為模式庫，不屬于該庫的行為被視為異常行為。該庫的行為被視為異常行為。 但是，入侵性活動并不總是與異?；顒酉嗟?，入侵性活動并不總是與異?；顒酉喾?，而是存在下列符合，而是存在下列4 4種可能性。種可能性。（1 1）入侵性而非異常。）入侵性而非異常。（2 2）非入侵性且異常。）非入侵性且異常。（3 3）非入侵性非異

10、常。）非入侵性非異常。（4 4）入侵性且異常。）入侵性且異常。 另外，設(shè)置異常的門檻值不當(dāng)，往往會導(dǎo)另外，設(shè)置異常的門檻值不當(dāng)，往往會導(dǎo)致致IDSIDS許多誤報警或者漏檢的現(xiàn)象，漏檢對于重許多誤報警或者漏檢的現(xiàn)象，漏檢對于重要的安全系統(tǒng)來說是相當(dāng)危險的，因為要的安全系統(tǒng)來說是相當(dāng)危險的，因為IDSIDS給安給安全管理員造成了系統(tǒng)安全假象。全管理員造成了系統(tǒng)安全假象。 2 2.2 2 誤用入侵檢測原理誤用入侵檢測原理 誤用入侵檢測依賴于模式庫，誤用入侵檢測能誤用入侵檢測依賴于模式庫，誤用入侵檢測能直接檢測出模式庫中已涵蓋的入侵行為或不可接受直接檢測出模式庫中已涵蓋的入侵行為或不可接受的行為，而異

11、常入侵檢測是發(fā)現(xiàn)同正常行為相違背的行為，而異常入侵檢測是發(fā)現(xiàn)同正常行為相違背的行為。誤用入侵檢測的主要假設(shè)是具有能夠被精的行為。誤用入侵檢測的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊。通過捕獲攻擊及重新確地按某種方式編碼的攻擊。通過捕獲攻擊及重新整理，可確認(rèn)入侵活動是基于同一弱點進行攻擊的整理，可確認(rèn)入侵活動是基于同一弱點進行攻擊的入侵方法的變種。誤用入侵檢測主要的局限性是僅入侵方法的變種。誤用入侵檢測主要的局限性是僅僅可檢測已知的弱點，對檢測未知的入侵可能用處僅可檢測已知的弱點，對檢測未知的入侵可能用處不大。不大。 2 2.3 3 入侵檢測模型入侵檢測模型入侵有以下入侵有以下6種方式：

12、種方式： 嘗試性攻擊；嘗試性攻擊； 偽裝攻擊；偽裝攻擊； 安全控制系統(tǒng)滲透；安全控制系統(tǒng)滲透； 泄漏；泄漏； 拒絕服務(wù)；拒絕服務(wù)； 惡意使用。惡意使用。IDESIDES模型模型圖 6 IDES模型 3 3 入侵檢測系統(tǒng)的關(guān)鍵技術(shù)入侵檢測系統(tǒng)的關(guān)鍵技術(shù) 3 3.1 1 多用于異常入侵檢測的技術(shù)多用于異常入侵檢測的技術(shù)1統(tǒng)計異常檢測方法統(tǒng)計異常檢測方法 統(tǒng)計異常檢測方法根據(jù)異常檢測器觀察統(tǒng)計異常檢測方法根據(jù)異常檢測器觀察主體的活動，由此產(chǎn)生一個能夠描述這些活主體的活動，由此產(chǎn)生一個能夠描述這些活動的輪廓。每一個輪廓都保存記錄主體的當(dāng)動的輪廓。每一個輪廓都保存記錄主體的當(dāng)前行為，并定時地將當(dāng)前的輪廓

13、合并到已存前行為，并定時地將當(dāng)前的輪廓合并到已存儲的輪廓中。通過比較當(dāng)前的輪廓與已存儲儲的輪廓中。通過比較當(dāng)前的輪廓與已存儲的輪廓來判斷主體的行為是否異常，從而來的輪廓來判斷主體的行為是否異常，從而來檢測網(wǎng)絡(luò)是否被入侵。檢測網(wǎng)絡(luò)是否被入侵。2基于特征選擇異常檢測方法 基于特征選擇異常檢測方法是通過從一組度量基于特征選擇異常檢測方法是通過從一組度量中挑選能檢測出入侵的度量構(gòu)成子集來準(zhǔn)確地預(yù)測中挑選能檢測出入侵的度量構(gòu)成子集來準(zhǔn)確地預(yù)測或分類已檢測到的入侵。或分類已檢測到的入侵。 3基于貝葉斯推理異常檢測方法 基于貝葉斯推理異常檢測方法是通過在任意給基于貝葉斯推理異常檢測方法是通過在任意給定的時刻

14、，測量定的時刻，測量A1，A，A變量值推理判斷系變量值推理判斷系統(tǒng)是否有入侵事件發(fā)生。統(tǒng)是否有入侵事件發(fā)生。 4基于貝葉斯網(wǎng)絡(luò)異常檢測方法基于貝葉斯網(wǎng)絡(luò)異常檢測方法 基于貝葉斯網(wǎng)絡(luò)的異常檢測方法是通過建立異基于貝葉斯網(wǎng)絡(luò)的異常檢測方法是通過建立異常入侵檢測貝葉斯網(wǎng)絡(luò)，然后用其分析測量結(jié)果。常入侵檢測貝葉斯網(wǎng)絡(luò)，然后用其分析測量結(jié)果。 關(guān)于一組變量關(guān)于一組變量x= x1，x，xn，的貝葉斯網(wǎng)，的貝葉斯網(wǎng)絡(luò)由以下兩部分組成：絡(luò)由以下兩部分組成： 一個表示一個表示X中變量的條件獨立斷言的網(wǎng)絡(luò)結(jié)構(gòu)中變量的條件獨立斷言的網(wǎng)絡(luò)結(jié)構(gòu)S； 與每一個變量相聯(lián)系的局部概率分布集合與每一個變量相聯(lián)系的局部概率分布集

15、合P。貝葉斯網(wǎng)絡(luò)的建立共有以下貝葉斯網(wǎng)絡(luò)的建立共有以下3個主要步驟。個主要步驟。第一步，確定建立模型有關(guān)的變量及其解釋。第一步，確定建立模型有關(guān)的變量及其解釋。 第二步，構(gòu)建一個表示條件獨立斷言的有向無環(huán)第二步，構(gòu)建一個表示條件獨立斷言的有向無環(huán)圖圖 。第三步，指派局部概率分布第三步，指派局部概率分布p(xi| |Pai)。5基于模式預(yù)測異常檢測方法基于模式預(yù)測異常檢測方法 基于模式預(yù)測異常檢測方法的假設(shè)條件是基于模式預(yù)測異常檢測方法的假設(shè)條件是事件序列不是隨機的而是遵循可辨別的模式事件序列不是隨機的而是遵循可辨別的模式 圖 9 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測示意圖 6基于神經(jīng)網(wǎng)絡(luò)異常檢測方法基于神經(jīng)

16、網(wǎng)絡(luò)異常檢測方法7基于貝葉斯聚類異常檢測方法基于貝葉斯聚類異常檢測方法8基于機器學(xué)習(xí)異常檢測方法基于機器學(xué)習(xí)異常檢測方法9基于數(shù)據(jù)采掘異常檢測方法基于數(shù)據(jù)采掘異常檢測方法 3 3.2 2 多用于誤用入侵檢測的技術(shù)多用于誤用入侵檢測的技術(shù) 誤用入侵檢測的主要假設(shè)是具有能夠被精確地誤用入侵檢測的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認(rèn)入侵活動是基于同一弱點進行攻擊的新整理，確認(rèn)入侵活動是基于同一弱點進行攻擊的入侵方法的變種。入侵方法的變種。 1基于條件概率誤用入侵檢測方法基于條件概率誤用入侵檢測方法2基于專家系統(tǒng)

17、誤用入侵檢測方法基于專家系統(tǒng)誤用入侵檢測方法3基于狀態(tài)遷移分析誤用入侵檢測方法基于狀態(tài)遷移分析誤用入侵檢測方法4基于鍵盤監(jiān)控誤用入侵檢測方法基于鍵盤監(jiān)控誤用入侵檢測方法5基于模型誤用入侵檢測方法基于模型誤用入侵檢測方法 3 3.3 3 基于基于Agent t的入侵檢測的入侵檢測 無控制中心的多無控制中心的多Agent結(jié)構(gòu)，每個結(jié)構(gòu)，每個檢測部件都是獨立的檢測單元，盡量降檢測部件都是獨立的檢測單元，盡量降低了各檢測部件間的相關(guān)性，不僅實現(xiàn)低了各檢測部件間的相關(guān)性，不僅實現(xiàn)了數(shù)據(jù)收集的分布化，而且將入侵檢測了數(shù)據(jù)收集的分布化，而且將入侵檢測和實時響應(yīng)分布化，真正實現(xiàn)了分布式和實時響應(yīng)分布化，真正實

18、現(xiàn)了分布式檢測的思想。檢測的思想。 該模型的檢測單元該模型的檢測單元IDAIDA是分布在網(wǎng)絡(luò)系統(tǒng)的各個位是分布在網(wǎng)絡(luò)系統(tǒng)的各個位置，每個置，每個IDAIDA獨立地檢測系統(tǒng)或網(wǎng)絡(luò)安全的一個方面，有獨立地檢測系統(tǒng)或網(wǎng)絡(luò)安全的一個方面，有獨立的數(shù)據(jù)獲取方式、運行模式或可選規(guī)則庫，各獨立的數(shù)據(jù)獲取方式、運行模式或可選規(guī)則庫，各IDAIDA之之間進行相互協(xié)作，對系統(tǒng)和網(wǎng)絡(luò)用戶的異?；蚩梢尚袨殚g進行相互協(xié)作，對系統(tǒng)和網(wǎng)絡(luò)用戶的異?；蚩梢尚袨檫M行檢測。進行檢測。 圖 10 基于Agent的入侵檢測系統(tǒng)模型 3 3.4 4 入侵檢測的新技術(shù)入侵檢測的新技術(shù)1基于生物免疫的入侵檢測基于生物免疫的入侵檢測 基于生

19、物免疫的入侵檢測方法是通過模仿生物基于生物免疫的入侵檢測方法是通過模仿生物有機體的免疫系統(tǒng)工作機制，使得受保護有機體的免疫系統(tǒng)工作機制，使得受保護 的系統(tǒng)能夠?qū)⒎亲晕遥ǖ南到y(tǒng)能夠?qū)⒎亲晕遥╪on selfnon self）的非法行為）的非法行為與自我（與自我（selfself）的合法行為區(qū)分開來。）的合法行為區(qū)分開來。 基于生物免疫的入侵檢測系統(tǒng)要遵循以下原則。基于生物免疫的入侵檢測系統(tǒng)要遵循以下原則。（1 1）分布式保護（）分布式保護（Distributed ProtectionDistributed Protection） （2 2）多樣性（）多樣性（DiversityDiversity）

20、 （3 3）健壯性（）健壯性（RobustnessRobustness） （4 4）適應(yīng)性（）適應(yīng)性（AdaptabilityAdaptability） （5 5）記憶性（）記憶性（MemoryMemory）。）。（6 6）隱含的策略描述（）隱含的策略描述（Implicit Policy Implicit Policy SpecificationSpecification）。）。（7 7）靈活性（）靈活性（FlexibilityFlexibility） （8 8）可擴充性（）可擴充性（ScalabilityScalability） （9 9）異常檢測）異常檢測 2 2基因算法基因算法 3數(shù)據(jù)挖

21、掘數(shù)據(jù)挖掘 數(shù)據(jù)挖掘指從大量實體數(shù)據(jù)中抽出模型數(shù)據(jù)挖掘指從大量實體數(shù)據(jù)中抽出模型的處理。挖掘?qū)徲嫈?shù)據(jù)最有用的的處理。挖掘?qū)徲嫈?shù)據(jù)最有用的3種方法是分種方法是分類、連接分析和順序分析。類、連接分析和順序分析。4基于偽裝的入侵檢測基于偽裝的入侵檢測5密罐技術(shù)密罐技術(shù) 密罐技術(shù)就是建立一個虛假的網(wǎng)絡(luò)，誘惑黑密罐技術(shù)就是建立一個虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個虛假的網(wǎng)絡(luò)，從而達到保護真正網(wǎng)絡(luò)客攻擊這個虛假的網(wǎng)絡(luò)，從而達到保護真正網(wǎng)絡(luò)的目的。的目的。 3.5 入侵檢測系統(tǒng)面臨的挑戰(zhàn)和發(fā)展前景入侵檢測系統(tǒng)的發(fā)展方向有以下幾個方面。入侵檢測系統(tǒng)的發(fā)展方向有以下幾個方面。1提高入侵檢測的速度提高入侵檢測的速度2硬

22、件化硬件化3專業(yè)化專業(yè)化4互聯(lián)化互聯(lián)化5標(biāo)準(zhǔn)化標(biāo)準(zhǔn)化 4 4 基于數(shù)據(jù)挖掘的智能化入侵檢測系統(tǒng)基于數(shù)據(jù)挖掘的智能化入侵檢測系統(tǒng)設(shè)計設(shè)計 入侵檢測的實質(zhì)就是對審計數(shù)據(jù)進行分析入侵檢測的實質(zhì)就是對審計數(shù)據(jù)進行分析和定性，數(shù)據(jù)挖掘強大的分析方法可以用于入和定性，數(shù)據(jù)挖掘強大的分析方法可以用于入侵檢測的建模。使用數(shù)據(jù)挖掘中有關(guān)算法對審侵檢測的建模。使用數(shù)據(jù)挖掘中有關(guān)算法對審計數(shù)據(jù)進行關(guān)聯(lián)分析和序列分析，可以挖掘出計數(shù)據(jù)進行關(guān)聯(lián)分析和序列分析，可以挖掘出關(guān)聯(lián)規(guī)則和序列規(guī)則。通過這種方法，管理員關(guān)聯(lián)規(guī)則和序列規(guī)則。通過這種方法，管理員不再需要手動分析并編寫入侵模式，也無需在不再需要手動分析并編寫入侵模式，也無需在建立正常使用模式時，憑經(jīng)驗去猜測其特征項，建立正常使用模式時，憑經(jīng)驗去猜測其特征項，具有很好的可擴展性和適應(yīng)性。具有很好的可擴展性和適應(yīng)性。 4 4.1 1 入侵檢測系統(tǒng)體系結(jié)構(gòu)以及模型入侵檢測系統(tǒng)體系結(jié)構(gòu)以及模型圖 11 系統(tǒng)體系結(jié)構(gòu)模型圖 4 4.2 2 數(shù)據(jù)預(yù)處理數(shù)據(jù)預(yù)處理主要提取的特征值有以下幾個。主要提取的特征值有以下幾個。（11）網(wǎng)絡(luò)連接特征）網(wǎng)絡(luò)連接特征（22）連接的統(tǒng)計特征）連接的統(tǒng)計特征 對于入侵檢測系統(tǒng)，尤其是在需要進行實時檢對于入侵檢測系統(tǒng)，尤其是在需要進行實時檢測的情況下，適當(dāng)?shù)臄?shù)據(jù)約簡是必要的。測的情況下，適當(dāng)?shù)臄?shù)