网络入侵检测技术综述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
TANⅨn矿,WU历耐.HUANG Network Intrtmion Detection Technology Wei
(1.The School of Software Engineering,Chongqing University,Chongqing 400044; 2.Chengdu military region 78098 army logistics departments,Chongzhou 61 1237) Abstract:The work in the computer network intrusion detection system,a key node.This paper introduces the basic concepts of intrusion detection,described two types of basic detection technology,intrusion detection are discussed in detail the process and test technology challenges and trends。 Key words:Intrusion detection;Anomaly detection;Misuse detection
误用检测最主要的缺点就是它们只能检测那些有明确签 名的已知攻击。当发现新的攻击后,开发人员必须模拟并把 他们加到签名数据库中。 3 入侵检测过程
入侵检测系统IDS(Intrusion Detection Systems)依照一定 的安全策略,对网络、系统的运行状况进行监视,尽可能发 现各种攻击企图、攻击行为或者攻击结果。假如把防火墙比 作一幢大楼的『J锁。那么IDS就是这幢大楼里的监视系统。
l 入侵检测发展
起初,系统管理员们坐在控制台前监控用户的活动来进 行人侵检测。他们通过观察,例如在本地登录的闲置用户或 非正常激活的闲置打印机。尽管上述方法不是足够有效的, 但这一早期入侵检测模式是临时的且不可升级。
入侵检测的下一步涉及到审计日志。审计日志即系统管 理员所记录的非正常和恶意行为。
在上世纪70年代末和80年代初,管理员将审计日志打 印在扇形折纸上,平均每周末都能累积四到五英尺高。很明 显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类
入侵检测的目的似乎非常简单:就是检测入侵行为。其 实不然,这是一项}f4难重重的任务,事实I二,入侵检测系统 并不检测入侵行为,他们只用于识别入侵的证据,不管入侵 行为正在发生或已经发生。
这些证据有时涉及到所谓的“攻击现象”。如果不存在攻 击现象,或攻击现象信息量不足,又或攻击现象包含的信息 可信度不高,则系统就不能检测到入侵行为。 3.1信息收集
误用检测系统从本质上可定义为‘出了什么问题’。它们 包括攻击行为描述(或签名)和将它们与审查数据流进行比 较,寻找已知攻击的证据。例如,如果某人在Unix系统密码 文件上创建了一个符号链接并执行一个与访问符号链接的优 先应用程序,就会产生上述攻击。在这个例子中,攻击利用 缺少文件访问核查发起的。误用检测系统的主要优点是误报 少,准确率高。
4 挑战
尽管在过去几年里入侵检测发展迅速,但是许多重要问 题依然存在。首先,检测系统必须更有效,以便能在出现很 少错误的前提下检测出更大范围内的攻击。另外,入侵榆测 必须跟卜.现代网络不断增长的幅度、速度以及编译器。最后, 我们需要能够支持对整个网络攻击进行识别的分析技术。
仅仅检测出各种各样攻击还是不够的,入侵检测系统必须 紧跟由高速网络和高性能网点产生的输入事件流。Gb以太网 作为公共,快速的镜像联结变得越来越流行。网络节点也变得 越来越快,处理更多的数据,产生更多的核查日志。这将我们 带回到那个历史问题前,即系统管理员面临堆积如山的数据。
内容恢复和网络审计让管理员看到网络的真正运行状况, 其实就是调动管理员参与行为分析过程。此功能不仅能使管理 员看到孤立的攻击事件的报警,还可以看到整个攻击过程,了 解攻击确实发生与否,杳看攻击着的操作过程,了解攻击造成 的危害。不fEi发现已知攻击,同时发现未知攻击。不便发现外 部攻击者的攻击,也发现内部用户的恶意行为。毕竟管理员是 最了解其网络的,管理员通过此功能的使用,很好地达到了行 为分析的目的。但使用此功能的同时需注意对用户隐私的保护。 53集成网络分析和管理功能
对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,一般通过3种技术手段进行分析:模式匹配。 统计分析和完整性分析嘲。 3.3入侵检测响应
一个入侵系统的响应是指在枪测出现问题时它的输出或 活动。一个响应可以呈现出多种形式;最通常的形式是产生 一个描述被检测入侵行为的警告。也存在很多入侵性的响应, 如分页系统管理员,发出警报声,或设置反攻击机制。
前面已经提到,入侵检测的最高境界是行为分析。但行 为分析前还不是很成熟,因此,个别优秀的入侵检测产品引 入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的应为 加以完整的重组和记录,网络中发生的任何行为都逃不过它 的监视。网络审计即对网络中所有的连接事件进行记录。入 侵检测的接人方式决定入侵检测系统中的网络审计不仅类似 防火墙可以记录p04络进出信息,还可以记录网络内部连接状 况,此功能对内容恢复无法恢复的加密连接尤其有用。
电脑编程技巧与维护
网络入侵检测技术综述
谭兵1。吴宗文2。黄伟
(1.重庆大学软件学院,重庆400044; 2.成都军区78098部队装备部,崇州611237)
摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技 术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测
异常检测利用用户和应用软件的预期行为。将对正常行 为的背离作为问题进行解释。异常检测的一个基本假设就是 攻击行为异于正常行为。例如,对特定用户的日常行为(打 字和数量)进行非常准确的模拟,假定某用户习惯上午lO点 左右登录,看邮件,运行数据库管理,中午到下午i点休息, 有极少数文件的存取出现错误等等。如果系统发现相同的用
(1)系统和网络日志文件。大部分操作日志提供了不同 的审查方式以便不同用户的操作登录。这些登录日志可能被 限制在与安全相关事件上(例如失败的登录尝试),或者也可 能提供每个过程所调用系统命令的完整报告。类似的,路由 器和防火墙为网络活动提供事件日志。这些日志可能只包括 简单的信息。例如刚络连接的通或断,或网络中出现的每个 数据包的完整记录。 (2)目录和文件中的不期望的改变。网 络环境中的文件系统包含很多软件和数据文件,包含重要信 息的文件和私有数据文件经常是入侵者修改或破坏的目标。 目录和文件中的不期单的改变(包括修改、创建和删除),特 别是那些正常情况下限制访问的,很可能就是入侵发生的指 示和信号。 (3)程序执行的不期望行为。网络系统的执行程
目前,入侵检测技术可基本分为3类:异常检测、误用 检测和混合检测。异常检测是假定所有入侵行为都是与正常 行为不同的;误用检测是根据已知攻击的知识建立攻击特征 库,通过用户或系统行为与特征库中的各种攻击模式的比较 确定是否有入侵发生;混合检测模型是对异常检测模型和误 用检测模犁的综合。文中详细介绍异常检测和误用检测。 2.1异常检测模型
90年代早期,研究人员开发出了实时入侵检测系统,即 对审计数据进行实时评估。由于实现了实时反应,且在一些 情况下,可以预测攻击,因此,这就使攻击和试图攻击发生 时即可被检测到成为可能。
近年来,很多入侵检测方面的努力都集中在一些开发的 产品上,这些产品将被用户有效配置在广大网络中。在计算 机环境不断持续变化和无数新攻击技术不断产生的情况下, 要使安全方面也不断升级是个非常困难任务[1l。 2 分类
对于入侵检测的使用,人们总会问这样一个问题。如果 已经安装了防火墙,给操作系统打了补丁,并为安全设置了 密码,为什么还要检测入侵呢?答案非常简单:因为入侵会 不断发生。举个例子,就像人们有时候会忘记锁上窗户,人 们有时也会忘记正确的升级防火墙规则设置。
即使在最高级别的保护措施下,计算机系统也不是百分 之百的安全。实际上,大多数计算机安全专家认为,既定的 用户要求属性,如网络连接,还未能达到成为百分之百安全 系统的要求。因此,必须发展入侵检测技术及系统以便及时 发现并对计算机攻击行为做出反应。
入侵检测(Intrusion Detection),顾名思义,即是对入侵 行为的发觉。它在计算机网络或计算机系统中的若干关键点 收集信息,通过对这些信息的分析来发现网络或系统中是否 有违反安全策略的行为和被攻击的迹象。入侵检测技术是为 保证计算机系统的安全而设计与配置的一种能够及时发现并 报告系统中未授权或异常现象的技术,是一种用于检测计算 机网络中违反安全策略行为的技术。违反安全策略的行为有: 入侵一非法用户的违规行为;滥用—用户的违规行为。
入侵检测误报和漏报的解决最终依靠分析技术的改进。 目前入侵检测分析方法主要有:统计分析、模式匹配、数据 重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别
一111—
电脑编程技巧与维护
攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成 对攻击的检测。数据重组是对网络连接的数据流进行重组再 加以分析.而不仅仅分析单个数据包。 5.2内容恢复和网络审计功能的引入
本文收稿日期:2009—11-12
Βιβλιοθήκη Baidu—110~
万方数据
信息量过于丰富且只能手动分析,所以管理员主要用审计日 志作为判据,以便在发生特别安全事件后,确定引起这一事 件的原阂。基本上不可能靠它发现正在进行的攻击。
随着存储器价格的降低,审计日志转移到网上且开发出 了分析相关数据的程序。然而,分析过程慢且需频繁而密集 计算,因此,入侵检测程序往往是在系统用户登录量少的夜 间进行。所以,大多数的入侵行为还是在发生后才被检测到。
万方数据
序一般包括操作系统、网络服务、用户启动的应用程序。执 行的程序由一个或多个进程来实现,每个进程执行在不同权 限的环境中,这种环境控制着进程可访问的系统资源、程序 和数据文件等。如果一个程序在执行过程中出现了不期望的 行为,如:越权访问、非法读写等,表明该程序可能被修改 或破坏。 (4)物理形式的入侵信息。包含未授权的对网络硬 件的连接和对物理资源的未授权访问田。 3.2信号分析
COMPUllNG SECURITY TECHNIQUES
计算机安全技术
户在下午3点登录,利用编译器和调试工具,并且出现很多 文件存取错误,那么它将标记这一行为为可疑。
异常检测系统的主要优点是它们可检测到以前未知的攻 击。通过定义‘正常’,它们可以确定任何侵害,不管是存在 局部威胁还是伞部。在真实的系统中,检测先前未知攻击的优 点是要求具备高的正伪识别速率的。异常检测系统在高度动态 环境中的使用是非常困难的,因为并非所有的入侵都表现为异 常。 2.2误用检测模型
信息收集是入侵榆测的关键环节,收集的内容包括系统、 网络、数据及用户括动的状态和行为。要达到精确的入侵检 测,必须获得可靠且完整的目标系统活动数据。可靠数据收 集需要在计算机网络系统中的若干不同关键点(不同网段和 不同主机)进行。人侵检测在很大程度上依赖于收集信息的 可靠性和准确性,信息一般来自4个方面:
反攻击可能包括重新分配一个路由器来阻止攻击者的地址 或甚至直接攻击来犯者。很明显,侵略性的响应是非常危险 的,因为它们发动反击的对象可能是无辜的。比如,黑客可 以利用确定的地址来攻击一个网络,但这个地址实际上产生 于其他地方。如果入侵检测系统检测到攻击并重新分配路由 器以阻止这一地址的网路,它就可能有效执行拒绝服务性攻 击以阻止模拟地址攻击。
对不断增长的系统效率,我们面临的挑战是设计实现出 一个能在出现最少错误前提下可以检测到将近100%攻击的系 统,但当前技术离这个目标还很远。
5 发展趋势
入侵检测作为一种积极主动地安全防范技术,提供了对 攻击和误操作的实时保护,在网络系统受到危害之前拦截和 响应入侵l川;但目前存在诸多问题:误/漏报率高、没有主动 防御能力、缺乏准确定位和处理机制、性能普遍不足。随着 网络系统结构的复杂化和大型化,网络入侵手段将变得多种 多样,系统的弱点或漏洞会增加更多不确定因素,因此入侵 检测技术也必须不断更新和发展。 5.1分析技术的改进
(1.The School of Software Engineering,Chongqing University,Chongqing 400044; 2.Chengdu military region 78098 army logistics departments,Chongzhou 61 1237) Abstract:The work in the computer network intrusion detection system,a key node.This paper introduces the basic concepts of intrusion detection,described two types of basic detection technology,intrusion detection are discussed in detail the process and test technology challenges and trends。 Key words:Intrusion detection;Anomaly detection;Misuse detection
误用检测最主要的缺点就是它们只能检测那些有明确签 名的已知攻击。当发现新的攻击后,开发人员必须模拟并把 他们加到签名数据库中。 3 入侵检测过程
入侵检测系统IDS(Intrusion Detection Systems)依照一定 的安全策略,对网络、系统的运行状况进行监视,尽可能发 现各种攻击企图、攻击行为或者攻击结果。假如把防火墙比 作一幢大楼的『J锁。那么IDS就是这幢大楼里的监视系统。
l 入侵检测发展
起初,系统管理员们坐在控制台前监控用户的活动来进 行人侵检测。他们通过观察,例如在本地登录的闲置用户或 非正常激活的闲置打印机。尽管上述方法不是足够有效的, 但这一早期入侵检测模式是临时的且不可升级。
入侵检测的下一步涉及到审计日志。审计日志即系统管 理员所记录的非正常和恶意行为。
在上世纪70年代末和80年代初,管理员将审计日志打 印在扇形折纸上,平均每周末都能累积四到五英尺高。很明 显,要在这一堆纸里进行搜索是相当耗费时间的。由于这类
入侵检测的目的似乎非常简单:就是检测入侵行为。其 实不然,这是一项}f4难重重的任务,事实I二,入侵检测系统 并不检测入侵行为,他们只用于识别入侵的证据,不管入侵 行为正在发生或已经发生。
这些证据有时涉及到所谓的“攻击现象”。如果不存在攻 击现象,或攻击现象信息量不足,又或攻击现象包含的信息 可信度不高,则系统就不能检测到入侵行为。 3.1信息收集
误用检测系统从本质上可定义为‘出了什么问题’。它们 包括攻击行为描述(或签名)和将它们与审查数据流进行比 较,寻找已知攻击的证据。例如,如果某人在Unix系统密码 文件上创建了一个符号链接并执行一个与访问符号链接的优 先应用程序,就会产生上述攻击。在这个例子中,攻击利用 缺少文件访问核查发起的。误用检测系统的主要优点是误报 少,准确率高。
4 挑战
尽管在过去几年里入侵检测发展迅速,但是许多重要问 题依然存在。首先,检测系统必须更有效,以便能在出现很 少错误的前提下检测出更大范围内的攻击。另外,入侵榆测 必须跟卜.现代网络不断增长的幅度、速度以及编译器。最后, 我们需要能够支持对整个网络攻击进行识别的分析技术。
仅仅检测出各种各样攻击还是不够的,入侵检测系统必须 紧跟由高速网络和高性能网点产生的输入事件流。Gb以太网 作为公共,快速的镜像联结变得越来越流行。网络节点也变得 越来越快,处理更多的数据,产生更多的核查日志。这将我们 带回到那个历史问题前,即系统管理员面临堆积如山的数据。
内容恢复和网络审计让管理员看到网络的真正运行状况, 其实就是调动管理员参与行为分析过程。此功能不仅能使管理 员看到孤立的攻击事件的报警,还可以看到整个攻击过程,了 解攻击确实发生与否,杳看攻击着的操作过程,了解攻击造成 的危害。不fEi发现已知攻击,同时发现未知攻击。不便发现外 部攻击者的攻击,也发现内部用户的恶意行为。毕竟管理员是 最了解其网络的,管理员通过此功能的使用,很好地达到了行 为分析的目的。但使用此功能的同时需注意对用户隐私的保护。 53集成网络分析和管理功能
对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,一般通过3种技术手段进行分析:模式匹配。 统计分析和完整性分析嘲。 3.3入侵检测响应
一个入侵系统的响应是指在枪测出现问题时它的输出或 活动。一个响应可以呈现出多种形式;最通常的形式是产生 一个描述被检测入侵行为的警告。也存在很多入侵性的响应, 如分页系统管理员,发出警报声,或设置反攻击机制。
前面已经提到,入侵检测的最高境界是行为分析。但行 为分析前还不是很成熟,因此,个别优秀的入侵检测产品引 入了内容恢复和网络审计功能。
内容恢复即在协议分析的基础上,对网络中发生的应为 加以完整的重组和记录,网络中发生的任何行为都逃不过它 的监视。网络审计即对网络中所有的连接事件进行记录。入 侵检测的接人方式决定入侵检测系统中的网络审计不仅类似 防火墙可以记录p04络进出信息,还可以记录网络内部连接状 况,此功能对内容恢复无法恢复的加密连接尤其有用。
电脑编程技巧与维护
网络入侵检测技术综述
谭兵1。吴宗文2。黄伟
(1.重庆大学软件学院,重庆400044; 2.成都军区78098部队装备部,崇州611237)
摘要:入侵检测工作应在计算机网络系统中的关键节点上。介绍入侵检测的基本概念,阐述两类基本的检测技 术,详细地论述了入侵检测过程及检测技术面临的挑战与发展趋势。 关键词:入侵检测;异常检测:误用检测
异常检测利用用户和应用软件的预期行为。将对正常行 为的背离作为问题进行解释。异常检测的一个基本假设就是 攻击行为异于正常行为。例如,对特定用户的日常行为(打 字和数量)进行非常准确的模拟,假定某用户习惯上午lO点 左右登录,看邮件,运行数据库管理,中午到下午i点休息, 有极少数文件的存取出现错误等等。如果系统发现相同的用
(1)系统和网络日志文件。大部分操作日志提供了不同 的审查方式以便不同用户的操作登录。这些登录日志可能被 限制在与安全相关事件上(例如失败的登录尝试),或者也可 能提供每个过程所调用系统命令的完整报告。类似的,路由 器和防火墙为网络活动提供事件日志。这些日志可能只包括 简单的信息。例如刚络连接的通或断,或网络中出现的每个 数据包的完整记录。 (2)目录和文件中的不期望的改变。网 络环境中的文件系统包含很多软件和数据文件,包含重要信 息的文件和私有数据文件经常是入侵者修改或破坏的目标。 目录和文件中的不期单的改变(包括修改、创建和删除),特 别是那些正常情况下限制访问的,很可能就是入侵发生的指 示和信号。 (3)程序执行的不期望行为。网络系统的执行程
目前,入侵检测技术可基本分为3类:异常检测、误用 检测和混合检测。异常检测是假定所有入侵行为都是与正常 行为不同的;误用检测是根据已知攻击的知识建立攻击特征 库,通过用户或系统行为与特征库中的各种攻击模式的比较 确定是否有入侵发生;混合检测模型是对异常检测模型和误 用检测模犁的综合。文中详细介绍异常检测和误用检测。 2.1异常检测模型
90年代早期,研究人员开发出了实时入侵检测系统,即 对审计数据进行实时评估。由于实现了实时反应,且在一些 情况下,可以预测攻击,因此,这就使攻击和试图攻击发生 时即可被检测到成为可能。
近年来,很多入侵检测方面的努力都集中在一些开发的 产品上,这些产品将被用户有效配置在广大网络中。在计算 机环境不断持续变化和无数新攻击技术不断产生的情况下, 要使安全方面也不断升级是个非常困难任务[1l。 2 分类
对于入侵检测的使用,人们总会问这样一个问题。如果 已经安装了防火墙,给操作系统打了补丁,并为安全设置了 密码,为什么还要检测入侵呢?答案非常简单:因为入侵会 不断发生。举个例子,就像人们有时候会忘记锁上窗户,人 们有时也会忘记正确的升级防火墙规则设置。
即使在最高级别的保护措施下,计算机系统也不是百分 之百的安全。实际上,大多数计算机安全专家认为,既定的 用户要求属性,如网络连接,还未能达到成为百分之百安全 系统的要求。因此,必须发展入侵检测技术及系统以便及时 发现并对计算机攻击行为做出反应。
入侵检测(Intrusion Detection),顾名思义,即是对入侵 行为的发觉。它在计算机网络或计算机系统中的若干关键点 收集信息,通过对这些信息的分析来发现网络或系统中是否 有违反安全策略的行为和被攻击的迹象。入侵检测技术是为 保证计算机系统的安全而设计与配置的一种能够及时发现并 报告系统中未授权或异常现象的技术,是一种用于检测计算 机网络中违反安全策略行为的技术。违反安全策略的行为有: 入侵一非法用户的违规行为;滥用—用户的违规行为。
入侵检测误报和漏报的解决最终依靠分析技术的改进。 目前入侵检测分析方法主要有:统计分析、模式匹配、数据 重组、协议分析、行为分析等。
统计分析是统计网络中相关事件发生的次数,达到判别
一111—
电脑编程技巧与维护
攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成 对攻击的检测。数据重组是对网络连接的数据流进行重组再 加以分析.而不仅仅分析单个数据包。 5.2内容恢复和网络审计功能的引入
本文收稿日期:2009—11-12
Βιβλιοθήκη Baidu—110~
万方数据
信息量过于丰富且只能手动分析,所以管理员主要用审计日 志作为判据,以便在发生特别安全事件后,确定引起这一事 件的原阂。基本上不可能靠它发现正在进行的攻击。
随着存储器价格的降低,审计日志转移到网上且开发出 了分析相关数据的程序。然而,分析过程慢且需频繁而密集 计算,因此,入侵检测程序往往是在系统用户登录量少的夜 间进行。所以,大多数的入侵行为还是在发生后才被检测到。
万方数据
序一般包括操作系统、网络服务、用户启动的应用程序。执 行的程序由一个或多个进程来实现,每个进程执行在不同权 限的环境中,这种环境控制着进程可访问的系统资源、程序 和数据文件等。如果一个程序在执行过程中出现了不期望的 行为,如:越权访问、非法读写等,表明该程序可能被修改 或破坏。 (4)物理形式的入侵信息。包含未授权的对网络硬 件的连接和对物理资源的未授权访问田。 3.2信号分析
COMPUllNG SECURITY TECHNIQUES
计算机安全技术
户在下午3点登录,利用编译器和调试工具,并且出现很多 文件存取错误,那么它将标记这一行为为可疑。
异常检测系统的主要优点是它们可检测到以前未知的攻 击。通过定义‘正常’,它们可以确定任何侵害,不管是存在 局部威胁还是伞部。在真实的系统中,检测先前未知攻击的优 点是要求具备高的正伪识别速率的。异常检测系统在高度动态 环境中的使用是非常困难的,因为并非所有的入侵都表现为异 常。 2.2误用检测模型
信息收集是入侵榆测的关键环节,收集的内容包括系统、 网络、数据及用户括动的状态和行为。要达到精确的入侵检 测,必须获得可靠且完整的目标系统活动数据。可靠数据收 集需要在计算机网络系统中的若干不同关键点(不同网段和 不同主机)进行。人侵检测在很大程度上依赖于收集信息的 可靠性和准确性,信息一般来自4个方面:
反攻击可能包括重新分配一个路由器来阻止攻击者的地址 或甚至直接攻击来犯者。很明显,侵略性的响应是非常危险 的,因为它们发动反击的对象可能是无辜的。比如,黑客可 以利用确定的地址来攻击一个网络,但这个地址实际上产生 于其他地方。如果入侵检测系统检测到攻击并重新分配路由 器以阻止这一地址的网路,它就可能有效执行拒绝服务性攻 击以阻止模拟地址攻击。
对不断增长的系统效率,我们面临的挑战是设计实现出 一个能在出现最少错误前提下可以检测到将近100%攻击的系 统,但当前技术离这个目标还很远。
5 发展趋势
入侵检测作为一种积极主动地安全防范技术,提供了对 攻击和误操作的实时保护,在网络系统受到危害之前拦截和 响应入侵l川;但目前存在诸多问题:误/漏报率高、没有主动 防御能力、缺乏准确定位和处理机制、性能普遍不足。随着 网络系统结构的复杂化和大型化,网络入侵手段将变得多种 多样,系统的弱点或漏洞会增加更多不确定因素,因此入侵 检测技术也必须不断更新和发展。 5.1分析技术的改进