入侵检测ppt课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
不同于服务请求超载,报文超载 一般向目标主机发送大量的响应报文, 如ICMP回应请求报文等。但它们的 结果是一样的,都是使得目标主机无 法应对大量的报文以致崩溃。
8
6.1.2
欺骗
1 IP地址欺骗 2 路由欺骗 3 DNS欺骗 4 Web欺骗
9
6.1.2
欺骗(1)
17
6.1.7
ICMP秘密通道
ICMP协议作为网络控制信息传递的 基础协议在所有实现TCP/IP协议的网络 上存在。许多访问控制设备并不阻断这种 协议的传输。但是ICMP协议的某些字段 并不被安全设备检查,攻击者即可利用这 些字段传递秘密信息。
18
6.1.8
TCP会话劫持
攻击者强行介入已经建立的 TCP连接,从而达到进入目标系 统的目的。
1
《《防防火火墙墙、、入入侵侵检检测测与与VVPPNN》》课课件件
第6章 入侵检测技术概述 第7章 主流入侵检测产品介绍 第8章 入侵检测技术的发展趋势
2
《《防防火火墙墙、、入入侵侵检检测测与与VVPPNN》》课课件件
第6章 入侵检测技术概述 第7章 主流入侵检测产品介绍 第8章 入侵检测技术的发展趋势
25
动态的安全模型
P2DR模型:Policy(安全策略)、Protection(防护)、Detection (检测)、Response(响应)。
防护 Protection
策略 Policy
响应 Response
检测 Detection
P2DR在整体的安全策略的控制和指导下,综合运用防护工具(如:防火墙、 操作系统身份认证、加密手段等)的同时,利用检测工具(如漏洞评估、入 侵检测系统)了解和评估系统的安全状态,通过适当的响应将系统调整到 “最安全”和“风险最低”的状态。
13
6.1.3
监听
网络监听是进行网络探测的一种 重要手段。它主要是通过对网络中传 递的信息的分析来获得目标网络的拓 扑结构、主机服务的提供情况、用户 的账号和密码等重要信息 。
14
6.1.4
密码破解
虽然目前已经有了多种认证的方法,但是账户/密码模 式仍然是最常用的方法。账户/密码模式的安全性完全依赖 于密码的安全性,这是因为账户信息是非常容易查询到的, 而密码信息是应该被严格保密的。由此产生了多种针对密 码的破解方法,其中最常用的是根据用户的习惯进行试探 的字典攻击法。
– 能确定攻击是否成功 » 攻击目的即为主机,可根据已发生的事件信息更准确地 判断攻击是否成功
– 监控粒度更细 » 监控的目标明确、视野集中,可检测一些基于网络的 IDS不能检测的文件; » 可以容易的监控系统的一些活动,如对敏感文件、目录、 程序或端口的存取,还可监视通常只有管理员才能实施 的非正常行为。
记录并分析用户和系统的行为,描述这些行为变化的正常区域,进而 识别异常的活动
通过技术手段记录入侵者的信息、分析入侵者的目的和行为特征,优 化系统安全策略。
加强组织或机构对系统和用户的监督与控制能力,提高管理水平和管 理质量。
27
IDS 应用
IDS检测实例
端口扫描和信息收集 nmap、finger、rpcinfo、DNS query 漏洞扫描 X--scanner、其它扫描器 常见攻击手法 buffer overflow (IIS、Sun RPC、Linux) 后门木马 NetBus、BO2K、冰河 拒绝服务 SYN Flood、UDP Flood、UDP Bomb、IPFrag、DDoS
19
6.2 入侵行为的一般过程 6.2.1 确定攻击目标 6.2.2 实施攻击 6.2.3 攻击后处理
20
6.2.1
确定攻击目标
攻击者根据其目的的不同会选择不同的 攻击对象。攻击行为的初始步骤是搜集 攻击对象的尽可能详细的信息。这些信 息包括:攻击对象操作系统的类型及版 本、攻击对象提供哪些网络服务、各服 务程序的类型及版本以及相关的社会信 息。
早在20世纪70年代,James Anderson负责主持了一个由美国军 方设立的关于计算机审计机制的研究项目。 1984年至1986年,乔治敦大学的Dorothy Denning和SRI/CSL (SRI公司计算机科学实验室)的Peter Neumann设计并实现了入 侵检测专家系统IDES(Intrusion Detection Expert System)。 1988年,Stephen Smaha为美国空军Unisys大型主机设计并开 发了Haystack入侵检测系统。 1990年,加州大学戴维斯分校的Todd Heberlien等人开发了NSM (Network Security Monitor)。 1992年,SAIC开发了计算机误用检测系统CMDS(Computer Misuse Detection System)。1993年,Haystack Labs开发了 Stalker系统。它们是首批商用的入侵检测系统。
1 IP地址欺骗
大多的Internet协议都缺乏源地 址认证的功能。攻击者可以将攻击数 据包的源IP地址伪装成合法用户的IP 地址来骗取网络安全设备的信任,从 而达到蒙混过关、进入用户内部网络 的目的。
10
6.1.2
欺骗(2)
2 路由欺骗
指通过伪造或修改路由表来达到攻击目的。路由欺骗主要有以 下几种类型: 基于ICMP协议的路由欺骗:攻击者伪装路由器将特意构造的 ICMP重定向报文发给目标主机。目标主机修改自己的路由表, 将报文按照攻击者指示的路由发往不可控制的网络。 基于RIP协议的路由欺骗:攻击者通过广播错误的路由信息使 得被动接收路由信息的网络或主机按照攻击者的意图构建错误 的路由表项。 源路由欺骗:攻击者利用IP协议的源路由机制,将正常的数 据包重定向到指定的网络或主机上。
15
6.1.5
木马
木马程序是目前计算机网络面临 的最大威胁。它利用各种欺骗手段将 木马程序种植到目标主机中,而后通 过木马程序的运行悄悄地在用户系统 中开辟后门,将用户的重要信息传递 到攻击者指定的服务器上。
16
6.1.6
缓冲区溢出
操作系统要为每个运行的程序分配数 据缓冲区。缓冲区溢出攻击则是故意地向 缓冲区传递超出缓冲区范围的数据。这些 精心编制的数据将覆盖程序或函数的返回 地址,使得指令指针跳转到入侵者希望的 位置继续执行操作,一般是攻击代码的起 始位置。
4
6.1.1
拒绝服务
1 服务请求超载 2 SYN洪水 3 报文超载
5
6.1.1
拒绝服务(1)
1 服务请求超载
指在短时间内向目标服务器发送 大量的特定服务的请求,使得目标服 务器来不及进行处理,最终造成目标 服务器崩溃 。
6
6.1.1
拒绝服务(2)
2 SYN洪水
这是一种经典的攻击方式。它利用了TCP协议的三次 握手机制,在短时间之内向目标服务器发送大量的半开连 接报文,即只发送初始的SYN/ACK报文而不发送最后的 ACK报文。目标服务器只能为这些恶意的连接保留资源, 希望接收到不可能传来的确认报文。最终在短时间之内耗 尽目标服务器的系统资源,造成真正的连接请求无法得到 响应。
6.1 计算机系统面临的威胁 6.2 入侵行为的一般过程 6.3 入侵检测的基本概念 6.4 入侵检测的主要作用 6.5 入侵检测的历史 6.6 入侵检测的分类 6.7 入侵检测技术的不足 6.8 本章小结
3
6.1 计算机系统面临的威胁
6.1.1 拒绝服务 6.1.2 欺骗 6.1.3 监听 6.1.4 密码破解 6.1.5 木马 6.1.6 缓冲区溢出 6.1.7 ICMP秘密通道 6.1.8 TCP会话劫持
11
6.1.2
欺骗(3)
3 DNS欺骗
攻击者先于域名服务器返回给目标主机 一个伪造的数据报文,目的是将目标主 机连接到受攻击者控制的非法主机上, 或者是在进行IP地址验证时欺骗服务器 。
12
6.1.2
欺骗(4)
4 Web欺骗
Web欺骗是攻击者通过创建某个网站 的镜像,使得用户将对正常网站的访问 改成对该镜像网站的访问。两个网站最 大的不同是镜像网站受到攻击者严密的 监视,用户所有提交的信息都被攻击者 记录,从而得到用户的账号、密码等关 键信息。
24
入侵检测系统基本构成:事件产生器、
入侵检测系统中负责
事件分析器、事件数据库、响应单元
原始数据采集的部分, 它对数据流、日志文 件等进行追踪,然后 将搜集到的原始数据 转换成事件,并向系 统的其他部分提供此 事件
事件产生器
事件分析器
接收事件信息,然 后对它们进行分析, 判断是否为入侵行 为或异常现象,最 后将判断的结果转
变为警告信息。
存放各种中间和最 终数据的地方。它 从事件发生器和事 件分析器接收数据, 一般会将数据进行 较长时间的保存。 可以是复杂的数据 库,也可以是简单 的文本文件。
事件数据库
响应单元
入侵检测系统的基本构成图
根据报警信息做 出反应,可以做 出切断连接、改 变文件属性等强 烈反应,也可以 只是简单的报警, 是IDS中的主动武 器。
21
6.2.2
实施攻击
当获得了攻击对象的足够多的信息后,攻击 者既可利用相关漏洞的攻击方法渗透进目标 系统内部进行信息的窃取或破坏。一般来说, 这些行为都要经过一个先期获取普通合法用 户权限,进而获取超级用户权限的过程。这 是因为很多信息窃取和破坏操作必须要有超 级用户的权限才能够进行,所以必须加强对 用户权限特别是超级用户权限的管理和监督。
22
6.2.3
攻击后处理
攻击者在成功实施完攻击行为后最后 需要做的是全身而退。即消除登录路 径上的路由记录,删除除攻击对象系 统内的系统日志中的相关记录,根据 需要设置后门等隐秘通道为下一次的 入侵行为做准备。
23
6.3 入侵检测的基本概念
入侵检测简单地说就是检测并响应针对计算机 系统或网络的入侵行为的学科。它包括了对系统的 非法访问和越权访问的检测;包括了监视系统运行 状态,以发现各种攻击企图、攻击行为或者攻击结 果;还包括了针对计算机系统或网络的恶意试探的 检测。而上述各种入侵行为的判定,即检测的操作, 是通过在计算机系统或网络的各个关键点上收集数 据并进行分析来实现的。 NSTAC: 入侵检测是对企图入侵、正在进行的入侵 或者已经发生的入侵进行识别的过程。
入侵检测已经有几十年的发展历史,出现过基于主机和基于网络 的2大阵营,从21世纪初,入侵检测的研究主要是基于网络,并向 着混合型和分布式样的方向发展。
30
6.6
入侵检测的分类
6.6.1 按照检测数据的来源划分 6.6.2 按检测方的入侵检测 2 基于网络的入侵检测 3 混合式的入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
不同于服务请求超载,报文超载 一般向目标主机发送大量的响应报文, 如ICMP回应请求报文等。但它们的 结果是一样的,都是使得目标主机无 法应对大量的报文以致崩溃。
8
6.1.2
欺骗
1 IP地址欺骗 2 路由欺骗 3 DNS欺骗 4 Web欺骗
9
6.1.2
欺骗(1)
17
6.1.7
ICMP秘密通道
ICMP协议作为网络控制信息传递的 基础协议在所有实现TCP/IP协议的网络 上存在。许多访问控制设备并不阻断这种 协议的传输。但是ICMP协议的某些字段 并不被安全设备检查,攻击者即可利用这 些字段传递秘密信息。
18
6.1.8
TCP会话劫持
攻击者强行介入已经建立的 TCP连接,从而达到进入目标系 统的目的。
1
《《防防火火墙墙、、入入侵侵检检测测与与VVPPNN》》课课件件
第6章 入侵检测技术概述 第7章 主流入侵检测产品介绍 第8章 入侵检测技术的发展趋势
2
《《防防火火墙墙、、入入侵侵检检测测与与VVPPNN》》课课件件
第6章 入侵检测技术概述 第7章 主流入侵检测产品介绍 第8章 入侵检测技术的发展趋势
25
动态的安全模型
P2DR模型:Policy(安全策略)、Protection(防护)、Detection (检测)、Response(响应)。
防护 Protection
策略 Policy
响应 Response
检测 Detection
P2DR在整体的安全策略的控制和指导下,综合运用防护工具(如:防火墙、 操作系统身份认证、加密手段等)的同时,利用检测工具(如漏洞评估、入 侵检测系统)了解和评估系统的安全状态,通过适当的响应将系统调整到 “最安全”和“风险最低”的状态。
13
6.1.3
监听
网络监听是进行网络探测的一种 重要手段。它主要是通过对网络中传 递的信息的分析来获得目标网络的拓 扑结构、主机服务的提供情况、用户 的账号和密码等重要信息 。
14
6.1.4
密码破解
虽然目前已经有了多种认证的方法,但是账户/密码模 式仍然是最常用的方法。账户/密码模式的安全性完全依赖 于密码的安全性,这是因为账户信息是非常容易查询到的, 而密码信息是应该被严格保密的。由此产生了多种针对密 码的破解方法,其中最常用的是根据用户的习惯进行试探 的字典攻击法。
– 能确定攻击是否成功 » 攻击目的即为主机,可根据已发生的事件信息更准确地 判断攻击是否成功
– 监控粒度更细 » 监控的目标明确、视野集中,可检测一些基于网络的 IDS不能检测的文件; » 可以容易的监控系统的一些活动,如对敏感文件、目录、 程序或端口的存取,还可监视通常只有管理员才能实施 的非正常行为。
记录并分析用户和系统的行为,描述这些行为变化的正常区域,进而 识别异常的活动
通过技术手段记录入侵者的信息、分析入侵者的目的和行为特征,优 化系统安全策略。
加强组织或机构对系统和用户的监督与控制能力,提高管理水平和管 理质量。
27
IDS 应用
IDS检测实例
端口扫描和信息收集 nmap、finger、rpcinfo、DNS query 漏洞扫描 X--scanner、其它扫描器 常见攻击手法 buffer overflow (IIS、Sun RPC、Linux) 后门木马 NetBus、BO2K、冰河 拒绝服务 SYN Flood、UDP Flood、UDP Bomb、IPFrag、DDoS
19
6.2 入侵行为的一般过程 6.2.1 确定攻击目标 6.2.2 实施攻击 6.2.3 攻击后处理
20
6.2.1
确定攻击目标
攻击者根据其目的的不同会选择不同的 攻击对象。攻击行为的初始步骤是搜集 攻击对象的尽可能详细的信息。这些信 息包括:攻击对象操作系统的类型及版 本、攻击对象提供哪些网络服务、各服 务程序的类型及版本以及相关的社会信 息。
早在20世纪70年代,James Anderson负责主持了一个由美国军 方设立的关于计算机审计机制的研究项目。 1984年至1986年,乔治敦大学的Dorothy Denning和SRI/CSL (SRI公司计算机科学实验室)的Peter Neumann设计并实现了入 侵检测专家系统IDES(Intrusion Detection Expert System)。 1988年,Stephen Smaha为美国空军Unisys大型主机设计并开 发了Haystack入侵检测系统。 1990年,加州大学戴维斯分校的Todd Heberlien等人开发了NSM (Network Security Monitor)。 1992年,SAIC开发了计算机误用检测系统CMDS(Computer Misuse Detection System)。1993年,Haystack Labs开发了 Stalker系统。它们是首批商用的入侵检测系统。
1 IP地址欺骗
大多的Internet协议都缺乏源地 址认证的功能。攻击者可以将攻击数 据包的源IP地址伪装成合法用户的IP 地址来骗取网络安全设备的信任,从 而达到蒙混过关、进入用户内部网络 的目的。
10
6.1.2
欺骗(2)
2 路由欺骗
指通过伪造或修改路由表来达到攻击目的。路由欺骗主要有以 下几种类型: 基于ICMP协议的路由欺骗:攻击者伪装路由器将特意构造的 ICMP重定向报文发给目标主机。目标主机修改自己的路由表, 将报文按照攻击者指示的路由发往不可控制的网络。 基于RIP协议的路由欺骗:攻击者通过广播错误的路由信息使 得被动接收路由信息的网络或主机按照攻击者的意图构建错误 的路由表项。 源路由欺骗:攻击者利用IP协议的源路由机制,将正常的数 据包重定向到指定的网络或主机上。
15
6.1.5
木马
木马程序是目前计算机网络面临 的最大威胁。它利用各种欺骗手段将 木马程序种植到目标主机中,而后通 过木马程序的运行悄悄地在用户系统 中开辟后门,将用户的重要信息传递 到攻击者指定的服务器上。
16
6.1.6
缓冲区溢出
操作系统要为每个运行的程序分配数 据缓冲区。缓冲区溢出攻击则是故意地向 缓冲区传递超出缓冲区范围的数据。这些 精心编制的数据将覆盖程序或函数的返回 地址,使得指令指针跳转到入侵者希望的 位置继续执行操作,一般是攻击代码的起 始位置。
4
6.1.1
拒绝服务
1 服务请求超载 2 SYN洪水 3 报文超载
5
6.1.1
拒绝服务(1)
1 服务请求超载
指在短时间内向目标服务器发送 大量的特定服务的请求,使得目标服 务器来不及进行处理,最终造成目标 服务器崩溃 。
6
6.1.1
拒绝服务(2)
2 SYN洪水
这是一种经典的攻击方式。它利用了TCP协议的三次 握手机制,在短时间之内向目标服务器发送大量的半开连 接报文,即只发送初始的SYN/ACK报文而不发送最后的 ACK报文。目标服务器只能为这些恶意的连接保留资源, 希望接收到不可能传来的确认报文。最终在短时间之内耗 尽目标服务器的系统资源,造成真正的连接请求无法得到 响应。
6.1 计算机系统面临的威胁 6.2 入侵行为的一般过程 6.3 入侵检测的基本概念 6.4 入侵检测的主要作用 6.5 入侵检测的历史 6.6 入侵检测的分类 6.7 入侵检测技术的不足 6.8 本章小结
3
6.1 计算机系统面临的威胁
6.1.1 拒绝服务 6.1.2 欺骗 6.1.3 监听 6.1.4 密码破解 6.1.5 木马 6.1.6 缓冲区溢出 6.1.7 ICMP秘密通道 6.1.8 TCP会话劫持
11
6.1.2
欺骗(3)
3 DNS欺骗
攻击者先于域名服务器返回给目标主机 一个伪造的数据报文,目的是将目标主 机连接到受攻击者控制的非法主机上, 或者是在进行IP地址验证时欺骗服务器 。
12
6.1.2
欺骗(4)
4 Web欺骗
Web欺骗是攻击者通过创建某个网站 的镜像,使得用户将对正常网站的访问 改成对该镜像网站的访问。两个网站最 大的不同是镜像网站受到攻击者严密的 监视,用户所有提交的信息都被攻击者 记录,从而得到用户的账号、密码等关 键信息。
24
入侵检测系统基本构成:事件产生器、
入侵检测系统中负责
事件分析器、事件数据库、响应单元
原始数据采集的部分, 它对数据流、日志文 件等进行追踪,然后 将搜集到的原始数据 转换成事件,并向系 统的其他部分提供此 事件
事件产生器
事件分析器
接收事件信息,然 后对它们进行分析, 判断是否为入侵行 为或异常现象,最 后将判断的结果转
变为警告信息。
存放各种中间和最 终数据的地方。它 从事件发生器和事 件分析器接收数据, 一般会将数据进行 较长时间的保存。 可以是复杂的数据 库,也可以是简单 的文本文件。
事件数据库
响应单元
入侵检测系统的基本构成图
根据报警信息做 出反应,可以做 出切断连接、改 变文件属性等强 烈反应,也可以 只是简单的报警, 是IDS中的主动武 器。
21
6.2.2
实施攻击
当获得了攻击对象的足够多的信息后,攻击 者既可利用相关漏洞的攻击方法渗透进目标 系统内部进行信息的窃取或破坏。一般来说, 这些行为都要经过一个先期获取普通合法用 户权限,进而获取超级用户权限的过程。这 是因为很多信息窃取和破坏操作必须要有超 级用户的权限才能够进行,所以必须加强对 用户权限特别是超级用户权限的管理和监督。
22
6.2.3
攻击后处理
攻击者在成功实施完攻击行为后最后 需要做的是全身而退。即消除登录路 径上的路由记录,删除除攻击对象系 统内的系统日志中的相关记录,根据 需要设置后门等隐秘通道为下一次的 入侵行为做准备。
23
6.3 入侵检测的基本概念
入侵检测简单地说就是检测并响应针对计算机 系统或网络的入侵行为的学科。它包括了对系统的 非法访问和越权访问的检测;包括了监视系统运行 状态,以发现各种攻击企图、攻击行为或者攻击结 果;还包括了针对计算机系统或网络的恶意试探的 检测。而上述各种入侵行为的判定,即检测的操作, 是通过在计算机系统或网络的各个关键点上收集数 据并进行分析来实现的。 NSTAC: 入侵检测是对企图入侵、正在进行的入侵 或者已经发生的入侵进行识别的过程。
入侵检测已经有几十年的发展历史,出现过基于主机和基于网络 的2大阵营,从21世纪初,入侵检测的研究主要是基于网络,并向 着混合型和分布式样的方向发展。
30
6.6
入侵检测的分类
6.6.1 按照检测数据的来源划分 6.6.2 按检测方的入侵检测 2 基于网络的入侵检测 3 混合式的入侵检测