第11章網(wǎng)絡(luò)安全.ppt

1、第11章 Red Hat Linux 9網(wǎng)絡(luò)安全,Linux平臺作為一個安全性、穩(wěn)定性比較高的操作系統(tǒng)被廣泛地應(yīng)用到了民用或者商業(yè)網(wǎng)絡(luò)服務(wù)領(lǐng)域。盡管Linux是安全系數(shù)比較高的操作系統(tǒng)，但作為一種動態(tài)的、不斷發(fā)展的操作系統(tǒng)，其自身仍然不可避免地存在著各種問題。本章將主要介紹Linux操作系統(tǒng)的一些安全特點(diǎn)，以及與之相關(guān)的安全技術(shù)。,11.1 網(wǎng)絡(luò)安全基礎(chǔ),計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科地綜合性學(xué)科。從廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、不可否認(rèn)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全地研究內(nèi)容。

2、11.1.1 信息安全簡介 廣義信息安全：包括軍事、政治等國家機(jī)密安全，防范商業(yè)企業(yè)機(jī)密泄露，防范青少年對不良信息的瀏覽，個人信息的泄露等。 狹義信息安全：指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)可以連續(xù)、可靠、正常地運(yùn)行，信息服務(wù)不中斷。 網(wǎng)絡(luò)環(huán)境下的信息安全：包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、信息認(rèn)證、數(shù)據(jù)加密等）以及安全系統(tǒng)。,1信息安全的實(shí)現(xiàn)目標(biāo) （1）真實(shí)性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別。 （2）保密性：保證機(jī)密信息不被竊聽，或使竊聽者不能了解信息的真實(shí)含義。 （3）完整性：保證數(shù)

3、據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。 （4）可用性：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。 （5）不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的。 （6）可控制性：對信息的傳播及內(nèi)容具有控制能力。 （7）可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。,2主要的信息安全威脅 （1）竊?。悍欠ㄓ脩敉ㄟ^數(shù)據(jù)竊聽的手段獲得敏感信息。 （2）截?。悍欠ㄓ脩羰紫全@得信息，再將此信息發(fā)送給真實(shí)接收者。 （3）偽造：將偽造的信息發(fā)送給接收者。 （4）篡改：非法用戶對合法用戶之間的通訊信息進(jìn)行修改，再發(fā)送給接收者。 （5）拒絕服務(wù)攻擊：攻擊服務(wù)系統(tǒng)，造成系統(tǒng)

4、癱瘓，阻止合法用戶獲得服務(wù)。 （6）行為否認(rèn)：否認(rèn)已經(jīng)發(fā)生的行為。 （7）非授權(quán)訪問：未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。 （8）傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難進(jìn)行防范。,3信息安全威脅的主要來源 （1）自然災(zāi)害、意外事故。（2）計(jì)算機(jī)犯罪。（3）人為錯誤，如使用不當(dāng)，安全意識差等。（4）內(nèi)部泄密。（5）外部泄密。（6）信息丟失。（7）電子諜報，如信息流量分析、信息竊取等。（8）信息戰(zhàn)。 （9）網(wǎng)絡(luò)協(xié)議自身缺陷，如TCP/IP協(xié)議的安全問題等。 4信息安全涉及的主要問題 （1）網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題。（2）安全漏洞與安全對策問題。（3）信息安全保密問題。（

5、4）系統(tǒng)內(nèi)部安全防范問題。（5）防病毒問題。（6）數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題。,11.1.2 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘葐栴}的技術(shù)手段，主要包括物理安全措施、數(shù)據(jù)傳輸安全技術(shù)、內(nèi)外網(wǎng)隔離技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)、審計(jì)技術(shù)、安全性檢測技術(shù)、防病毒技術(shù)、備份技術(shù)、終端安全技術(shù)等。,11.2 防火墻技術(shù),網(wǎng)絡(luò)面臨的安全威脅主要有人為或自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；操作人員的失誤造成的數(shù)據(jù)丟失；來自外部或內(nèi)部人員的惡意攻擊和入侵等。 前面兩種威脅的預(yù)防方法與傳統(tǒng)電信網(wǎng)絡(luò)中的預(yù)防方法基本相同。最后一種是當(dāng)前In

6、ternet所面臨的最大威脅，是電子商務(wù)、電子政務(wù)等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問題。目前解決網(wǎng)絡(luò)安全問題的最有效方法是采用防火墻。 防火墻就是在可以信任的本地網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一個阻塞點(diǎn)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)傳輸都必須經(jīng)過這一個阻塞點(diǎn)。,11.2.1 防火墻的體系結(jié)構(gòu)及分類 目前防火墻的體系結(jié)構(gòu)一般有雙重宿主主機(jī)體系結(jié)構(gòu)、主機(jī)過濾體系結(jié)構(gòu)和子網(wǎng)過濾體系結(jié)構(gòu)3種。,1雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)而構(gòu)筑的。該計(jì)算機(jī)至少有兩個網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)

7、絡(luò)發(fā)送IP數(shù)據(jù)包。雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)使IP數(shù)據(jù)包不是從一個網(wǎng)絡(luò)直接發(fā)送到其他網(wǎng)絡(luò)，而是通過防火墻實(shí)現(xiàn)其內(nèi)外計(jì)算機(jī)之間的通信。 雙重宿主主機(jī)體系結(jié)構(gòu)如右圖所示。,2主機(jī)過濾體系結(jié)構(gòu) 雙重宿主主機(jī)結(jié)構(gòu)是由一臺同時連接于內(nèi)、外網(wǎng)絡(luò)的雙重宿主主機(jī)提供安全保障的，而在主機(jī)過濾體系結(jié)構(gòu)中，提供安全保護(hù)的主機(jī)僅與內(nèi)部網(wǎng)絡(luò)相連。另外，主機(jī)過濾結(jié)構(gòu)還有一臺單獨(dú)的路由器（過濾路由器）。在這種體系結(jié)構(gòu)中，網(wǎng)絡(luò)安全主要由數(shù)據(jù)包過濾提供，其結(jié)構(gòu)如右圖：,過濾路由器中，數(shù)據(jù)包過濾配置的兩種方法： （1）允許其他內(nèi)部主機(jī)為了使用某些服務(wù)于Internet上的主機(jī)連接，即允許那些已經(jīng)由數(shù)據(jù)包過濾的服務(wù)。 （2）不允

8、許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。 3.子網(wǎng)過濾體系結(jié)構(gòu) 子網(wǎng)過濾體系結(jié)構(gòu)在主機(jī)過濾體系結(jié)構(gòu)中添加了額外的安全層，即通過添加參數(shù)網(wǎng)絡(luò)（內(nèi)外部網(wǎng)絡(luò)之間另加的一層安全保護(hù)網(wǎng)絡(luò)層，如果入侵者成功地闖過外保護(hù)網(wǎng)到達(dá)防火墻，參數(shù)網(wǎng)絡(luò)就能在入侵者與內(nèi)部網(wǎng)絡(luò)之間再提供一層保護(hù)），更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。,子網(wǎng)過濾體系結(jié)構(gòu)的最簡單的形式為采用兩個連接到參數(shù)網(wǎng)絡(luò)的過濾路由器：一個位于參數(shù)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于參數(shù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常為Internet）之間，其結(jié)構(gòu)圖如下圖所示：,此體系結(jié)構(gòu)中采用的組件： （1）參數(shù)網(wǎng)絡(luò) 如果使用了參數(shù)網(wǎng)絡(luò)，則入侵者侵

9、入到堡壘主機(jī)時，只能偷看到參數(shù)網(wǎng)絡(luò)的信息流，而看不到內(nèi)部網(wǎng)絡(luò)的信息，而這層網(wǎng)絡(luò)的信息流僅往來于參數(shù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)或者參數(shù)網(wǎng)絡(luò)與堡壘主機(jī)。 （2）堡壘主機(jī) 堡壘主機(jī)與參數(shù)網(wǎng)絡(luò)相連，而這臺主機(jī)是外部網(wǎng)絡(luò)服務(wù)于內(nèi)部網(wǎng)絡(luò)的主節(jié)點(diǎn)。它為內(nèi)部網(wǎng)絡(luò)提供服務(wù)，并向外（由內(nèi)部網(wǎng)絡(luò)的客戶端向外部服務(wù)器）提供服務(wù)。 （3）內(nèi)部路由器 有時也稱為阻流路由器，主要功能是保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)與參數(shù)網(wǎng)絡(luò)的侵?jǐn)_。 （4）外部路由器 有時也稱為接觸路由提，既保護(hù)參數(shù)網(wǎng)絡(luò)，又保護(hù)內(nèi)部網(wǎng)絡(luò)。外部路由器真正有效的作用就是阻斷從外部網(wǎng)絡(luò)的偽造源地址進(jìn)來的任何數(shù)據(jù)包。,11.2.3 使用iptables實(shí)現(xiàn)網(wǎng)絡(luò)層和傳輸層防火墻 1.

10、 netfilter/iptable簡介 netfilter/iptable是Linux核心的一個通用框架，該框架定義了包過濾子系統(tǒng)功能的實(shí)現(xiàn)，提供了filter、NAT（network address tranletion）和mangle 三個表，默認(rèn)使用的是filter表。每個表包含有若干條內(nèi)建的鏈（chains），用戶也可以在表中創(chuàng)建自定義的鏈。在每條鏈中，可定義一條或多條過濾規(guī)則（rule），即鏈?zhǔn)且粋€規(guī)則的列表。每條規(guī)則應(yīng)指定所要檢查的包的特征以及如何處理與之相匹配的包，即目標(biāo) （ target ），目標(biāo)值可以是用戶自定義的一個鏈名，以便跳轉(zhuǎn)到同一個表內(nèi)的用戶自定義鏈進(jìn)行規(guī)則檢查，也

11、可以是ACCEPT、DROP、REJECT或RETURN等值。 規(guī)則的定義方式一般是“如果數(shù)據(jù)波符合這樣的條件，這樣處理該數(shù)據(jù)包”，規(guī)則遵循第一匹配優(yōu)先原則，在表達(dá)規(guī)則時應(yīng)注意先后順序。若未指定源或目的地址，則默認(rèn)為任意主機(jī)。,2.iptables的安裝及命令簡介 1）查看是否安裝了ipchains iptables不能與ipchains同時使用，使用以下命令檢查是否加載了ipchains： #lsmod grep ipchains 若出現(xiàn)相應(yīng)的版本號說明已加載，可使用以下命令卸載該模塊： #rmmod ipchains 2）查看iptables是否正在運(yùn)行 在Red Hat Linux 9中

12、iptables是默認(rèn)安裝的，可用如下命令來查看是否正在運(yùn)行： #service iptables status 如果可以看到詳細(xì)的規(guī)則信息，那么用戶可以直接進(jìn)入，如果iptables還沒有被編譯到內(nèi)核中，就需要先將它編譯到內(nèi)核里。,3）使用iptables命令 iptables命令的語法一般如下： iptables -flag chain options extensions ACTION 各參數(shù)含義如下： flag：標(biāo)志項(xiàng) chain：鏈 options：選項(xiàng) extensions：擴(kuò)展功能 ACTION：事件項(xiàng) 其中標(biāo)志項(xiàng)和選項(xiàng)還有很多種類，具體看課本介紹。,11.2.4 使用Squid

13、實(shí)現(xiàn)代理服務(wù)器 1. 代理服務(wù)器的定義 代理服務(wù)器英文全稱是proxy server，其功能就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息。形象地說：它是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。 代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的另一臺服務(wù)器。有了它之后，網(wǎng)絡(luò)瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請求，即信號會先送到代理服務(wù)器，由代理服務(wù)器來取回所需要的信息并傳送到網(wǎng)絡(luò)瀏覽器。 代理服務(wù)器提供兩方面服務(wù)：讓不能直接訪問Internet的用戶訪問Internet；讓那些已經(jīng)能訪問Internet的用戶可以更快或更廣泛地訪問Internet。,2.安裝與配置Squid緩存透明代理 Squid是一個具有高性能

14、的、有網(wǎng)頁緩存功能的、支持HTTP和FTP協(xié)議的代理。Squid在緩存數(shù)據(jù)的同時，也緩存DNS查詢結(jié)果，并支持SSL和訪問控制，是Linux系統(tǒng)常用的一種代理服務(wù)器軟件。對于squid無法代理的服務(wù)，可通過網(wǎng)絡(luò)地址轉(zhuǎn)換來實(shí)現(xiàn)代理，從而使透明代理服務(wù)器同時具有網(wǎng)頁緩存的功能，可以加快對網(wǎng)頁的訪問速度。 Squid的安裝： （1）從站點(diǎn)獲取Squid軟件的源代碼安裝包，包括.gz和.bz2兩種壓縮格式的文件。也可以使用Linux的發(fā)行版提供的RPM包。 （2）使用RPM方式安裝，命令為： rpm -ivh Squid-2.x.STALBx.i386.rpm 使

15、用壓縮包安裝，先解壓。 如果是最新穩(wěn)定版本squid-2.5.STABLE2.tar.gz，解壓命令為： tar xvfz squid-2.5.STABLE.tar.gz 如果是.bz2方式的壓縮包，解壓命令為： tar xvfj squid-2.5.STABLE.tar.bz2,（3）進(jìn)入相應(yīng)目錄，對源代碼進(jìn)行配置和編譯，命令如下： cd squid-2.5.STABLE2 配置命令configure有很多選項(xiàng)，可以受用-help命令查看使用方法，此處不做介紹，課本中列舉了常用的選項(xiàng)。 整個配置編譯過程如下： ./configure -prefix=/var/squid -sysconfdi

16、r=/etc -enable-arp-acl -enable-linux-netfilter -enable-pthreads -enable-err-language=Simplify_Chinese -enable-storeio=ufs，null -enable-default-err-language=Simplify_Chinese -enable-auth=basic -enable-baisc-auth-helpers=NCSA -enable-underscore,（4）最后執(zhí)行make和make install兩條命令，將源代碼編譯為可執(zhí)行文件，并復(fù)制到指定位置。 Squid

17、的配置： 安裝完成后，接下來要對Squid的運(yùn)行進(jìn)行配置(不是前面安裝時的置)，所有項(xiàng)目都在squid.conf中完成。Squid自帶的squid.conf包括非常詳盡的說明，相當(dāng)于一篇用戶手冊，對配置有任何疑問都可以參照解決。 課本中有詳細(xì)的配置例子，這里不再列出。,11.2.5 測試防火墻 通過防火墻前一節(jié)的學(xué)習(xí)，我們對防火墻的規(guī)則及命令已經(jīng)很熟悉了，接下來就可以用這些規(guī)則來測試防火墻。在測試之前先熟悉一些防火墻中常用的規(guī)則。 # iptables F # iptables P INPUT DROP # iptables P OUTPUT DROP # iptables P FORWARD

18、 DROP # iptables A INPUT i lo j ACCEPT # iptables A OUTPUT i lo j ACCEPT # iptables A INPUT i eth1 s /24 j ACCEPT # iptables A OUTPUT i eth1 d /24 j ACCEPT # iptables t nat -A POSTROUTING o eth0 d !/24 j MASQUERADE,# iptables A FORWARD s /24 j ACCEPT # ipt

19、ables A FORWARD d /24 j ACCEPT # iptables A INPUT f -i eth0 -j DROP # iptables A OUTPUT -i eth0 p -tcp -s /24 sport 1024 :65535 d any/0 -dport 80 j ACCEPT # iptables A INPUT -i eth0 p -tcp -s any/0 -sport 80 d /24 dport 1024：65535 -j ACCEPT # iptables A OUTPUT -i eth

20、0 p -tcp -s /24 sport 1024 :65535 d any/0 -dport 21 j ACCEPT # iptables A INPUT -i eth0 p -tcp -s any/0 -sport 21 d /24 dport 1024：65535 -j ACCEPT # iptables-save/etc/sysconfig/iptables,這些規(guī)則的解釋如下： 第1條：清空存在的所有規(guī)則。 第2、3、4條：這是“默認(rèn)策略規(guī)則”，禁止了所有IP傳輸。 第5、6條：啟用本地回環(huán)接口（本地回環(huán)設(shè)備lo（地址）

21、，IP數(shù)據(jù)報文可以在eth0和eth1之間傳輸，這樣數(shù)據(jù)可以通過防火墻主機(jī)。 第7條：規(guī)定從內(nèi)部網(wǎng)/24發(fā)來的數(shù)據(jù)能被eth1接口接受。 第8條：規(guī)定從防火墻的eth1接口向/24網(wǎng)絡(luò)輸出數(shù)據(jù)是允許。 第9條：向網(wǎng)絡(luò)地址轉(zhuǎn)換表的POSTROUTING鏈中加入規(guī)則。規(guī)則規(guī)定對所有不發(fā)送到/24網(wǎng)絡(luò)的數(shù)據(jù)報文進(jìn)行源地址轉(zhuǎn)換，使用eth0的IP地址來改變報文的源IP地址（/24），這樣，從/24發(fā)出的報文在Internet上傳輸?shù)倪^程中，數(shù)據(jù)的源地址會顯示為eth0的IP地址。 第10、11

22、條：規(guī)定允許系統(tǒng)轉(zhuǎn)送這兩種報文：發(fā)往內(nèi)部網(wǎng)絡(luò) （/24）的報文和從內(nèi)部網(wǎng)絡(luò)（/24）發(fā)出的報文。,第12條：禁止所有分片包，防止分片包攻擊。 第13條：允許防火墻的外部接口送出使用TCP協(xié)議、源地址為內(nèi)部網(wǎng)絡(luò)地址、源端口在1024和65535之間、目標(biāo)地址為任意IP地址、目標(biāo)端口為80的數(shù)據(jù)包。該規(guī)則允許內(nèi) 部網(wǎng)絡(luò)用戶訪問外部的Web服務(wù)。 第14條：允許防火墻的外部接口送進(jìn)使用TCP協(xié)議、源地址為任意IP地址、源端口為80、目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)地址、目標(biāo)端口在1024和65535之間的數(shù)據(jù)包。該規(guī)則允許外部Web服務(wù)對內(nèi)部網(wǎng)絡(luò)用戶的Web回應(yīng)。 第1

23、5條：允許防火墻的外部接口送出使用TCP協(xié)議、源地址為內(nèi)部網(wǎng)絡(luò)地址、源端口在1024和65535之間、目標(biāo)地址為任意IP地址、目標(biāo)端口為21的數(shù)據(jù)包。該規(guī)則允許內(nèi)部網(wǎng)絡(luò)用戶訪問外部的FTP服務(wù)。 第16條：允許防火墻的外部接口送進(jìn)使用TCP協(xié)議、源地址為任意IP地址、源端口是21、目標(biāo)地址為內(nèi)部網(wǎng)絡(luò)地址、目標(biāo)端口范圍為1024到65535之間的數(shù)據(jù)包。該規(guī)則允許外部FTP服務(wù)對內(nèi)部網(wǎng)絡(luò)用戶的FTP回應(yīng)。 第17條：將用戶定義的規(guī)則保存到/etc/sysconfig/iptables中。,11.3 入侵檢測技術(shù),入侵檢測技術(shù)是近年來出現(xiàn)的一種主動保護(hù)自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。入侵檢測被

24、認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時檢測。 11.3.1 入侵檢測系統(tǒng)原理及分類 入侵檢測是對入侵行為的發(fā)現(xiàn)，它通過在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。完成入侵檢測功能的軟件和硬件組合便是入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS ）。,1.IDS原理 IDS通常使用兩種基本的分析方法來分析事件、檢測入侵行為，即誤用檢測（Misuse Detection）和異常檢測（Anomaly Detectio

25、n）。 誤用檢測會對不正常的行為進(jìn)行建模，這些行為是以前記錄下來的確認(rèn)了的誤用或攻擊。誤用檢測器分析系統(tǒng)的活動，發(fā)現(xiàn)那些與被預(yù)先定義好的攻擊特征相匹配的事件或事件集。由于與攻擊模式相對應(yīng)的是特征，誤用檢測往往也被稱為基于特征的檢測。目前，最常用的做法是將每一個攻擊事件的模式定為一個獨(dú)立的特征，從而使對入侵行為的檢測成為對特征的匹配搜索：如果和已知的入侵特征匹配，就認(rèn)為是攻擊；如果不匹配，就認(rèn)為不是攻擊。 異常檢測是對正常行為建模，不符合這個模型的事件就被懷疑為攻擊。異常檢測首先收集一段時期正常操作活動的歷史數(shù)據(jù)，建立代表用戶、主機(jī)網(wǎng)絡(luò)連接的正常行為輪廓，然后收集事件數(shù)據(jù)，并使用各種方法來確定所檢測到的事件活動是否偏離了正常行為模式。這些方法主要有閥值檢測和統(tǒng)計(jì)方法等，還有一些新的技術(shù)，如神經(jīng)網(wǎng)絡(luò)等。,2.IDS分類 1）根據(jù)信息源分類 從數(shù)據(jù)源來看，可以將入侵檢測系統(tǒng)分為基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于應(yīng)用的入侵檢測系統(tǒng)。 2）根據(jù)分析方法分類 傳統(tǒng)的觀點(diǎn)是根據(jù)入侵行為的屬性將其分為異常和誤用兩種，然后分別對其建立異常檢測模型和誤用檢測模型。異常入侵檢測是指能夠根據(jù)異常行為和計(jì)算機(jī)資源的使用情況檢測出入侵的方法，它試圖用定量的方式描述可以接受的行為特