第六章入侵检测与安全审计系统-PPT文档资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检测属性的选择问题,即如何选择与入侵判定相关度高 的、有限的一些检测属性。
阈值矢量的设置存在缺陷。由于模型依赖于用户正常行 为的规范性,因此用户行为变化越快,误警率也越高。
预设入侵阈值的选择问题,即如何更加科学地设置入侵 阈值,以降低误报率、漏报率。
13.03.2021
电子科技大学成都学院
18
网络安全与病毒防范
第六章 入侵检测与安全审计系统
6.1 入侵检测系统 6.2 安全审计系统
13.03.2021
电子科技大学成都学院
2
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、 机密性和可用性的活动。
入侵检测顾名思义,是指通过对计算机网络或计 算机系统中的若干关键点收集信息并对其进行分 析,从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
13.03.2021
电子科技大学成都学院
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
13.03.2021
电子科技大学成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
13.03.2021
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
13.03.2021
电子科技大学成都学院
32
分布式结构
采用多个代理在网络各部分分别进行入侵检测,并 且协同处理可能的入侵行为。
优点:能够较好地实现数据的监听,可以检测内部和 外部的入侵行为。
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时,签名数据库更新不够快。
13.03.2021
电子科技大学成都学院
30
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期,大都采用单一的体系结构, 即所有的工作包括数据的采集、分析都由单 一主机上的单一程序来完成。
注意:一些所谓的分布式IDS只是在数据采集上实 现了分布式,数据的分析、入侵的发现和识别还是 由单一程序来完成。
13.03.2021
电子科技大学成都学院
8
6.1.4 入侵分析方法
签名分析法 统计分析法 数据完整性分析法
13.03.2021
电子科技大学成都学院
9
签名分析法
主要用来监测对系统的已知弱点进行攻击的 行为。
方法:从攻击模式中归纳出它的签名,编写 到IDS系统的代码里。
签名分析实际上是一种模板匹配操作: 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库
13.03.2021
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。
如同大楼的监视系统。
13.03.2021
电子科技大学成都学院
16
借助该模型,可以根据某一时间段的Web日 志信息产生会话矢量,该矢量描述在特定时 间 明第段i同个一网请页求被主访机问访的频问率各;网接页着的根频据率阈,值xi矢说 量产生伯努里矢量,此处的阈值矢量定为各
网页被访问的正常频率范围;然后计算加权 入 度 要保侵相护值关;,,最加即后权若若矢wi>加量w权中j,入的表侵w明i与值网网大页页于i比需预网受设页的保j阈护更值程需,
6.1.5 入侵检测系统的主要类型
分类 根据其采用的分析方法可分为
异常检测 误用检测
根据系统的工作方式可分为
离线检测 在线检测
根据系统所检测的对象可分为
基于主机的 基于网络的
13.03.2021
电子科技大学成都学院
19
异常检测
需要建立目标系统及其用户的正常活动模型, 然后基于这个模型对系统和用户的实际活动 进行审计,当主体活动违反其统计规律时, 则将其视为可疑行为。
13.03.2021
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。
6.1.6 入侵检测系统的优点和不足
优点
能够使现有的安防体系更完善 能够更好地掌握系统的情况 能够追踪攻击者的攻击线路 界面友好,便于建立安防体系 能够抓住肇事者
13.03.2021
电子科技大学成都学院
29
不足
不能够在没有用户参与的情况下对攻击行为展开调 查
不能够在没有用户参与的情况下阻止攻击行为的发 生
正误判——将一个合法操作判断为异常行为。
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
始于80年代早期,通常采用查看针对可疑行为的 审计记录来执行。
对新的记录条目与攻击特征进行比较,并检查不 应该被改变的系统文件的校验和来分析系统是否 被侵入或被攻击。
若发现与攻击模式匹配,IDS系统通过向管理员 报警和其他呼叫行为来响应。
13.03.2021
电子科技大学成都学院
24
优点:
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没
13.03.2021
电子科技大学成都学院
22
主要类型
应用软件入侵检测
概念:在应用级收集信息 优点:控制性好 缺点:
需要支持的应用软件数量多 只能保护一个组件
13.03.2021
电子科技大学成都学院
23
基于主机的入侵检测
概念
在宿主系统审计日志文件中寻找攻击特征,然后 给出统计分析报告。
13.03.2021
电子科技大学成都学院
13
步骤2:产生伯努里矢量。
伯努里矢量B=<b1,b2,…,bn>是单一2值矢量,表示 属性的数目是否在正常用户的阈值范围之外。阈值 矢量T=<t1,t2,…,tn>表示每个属性的范围,其中ti是 <ti,min, ti,max>形式的元组,代表第i个属性的范围。 这样阈值矢量实际上构成了一张测量表。算法假设 ti服从高斯分布(即:正态分布)。
缺点:只能发现攻击库中已知的攻击,不能检测未知 的入侵,也不能检测已知入侵的变种,因而会发生 漏报;复杂性将随着攻击数量的增加而增加。
13.03.2021
电子科技大学成都学院
21
离线检测
在事后分析审计事件,从中检查入侵活动,是 一种非实时工作的系统。
在线检测
实时联机的检测系统,包含对实时网络数据 包分析,对实时主机审计分析。
关键:异常阈值和特征的选择
优点:可以发现新型的入侵行为,漏报少
缺点:容易产生误报
13.03.2021
电子科技大学成都学院
20
误用检测
假定所有入侵行为和手段(及其变种)都能够表达 为一种模式或特征,系统的目标就是检测主体活动 是否符合这些模式。
优点:可以有针对性地建立高效的入侵检测系统, 其精确度较高,误报少。
工作流程
根据计算机审计记录文件产 生代表用户会话行为的会话 矢量,然后对这些会话矢量 进行分析,计算出会话的异 常值,当该值超过阈值便产 生警告。
13.03.2021
电子科技大学成都学院
12
步骤1:产生会话矢量。
根据审计文件中的用户会话(如用户会话包括login和 logout之间的所有行为)产生会话矢量。
优点 花费低 检查所有的包头来识别恶意和可疑行为
处于比较隐蔽的位置,基本上不对外提供服务, 比较坚固。
具有更好的实时性 检测不成功的攻击和恶意企图 基于网路的IDS不依赖于被保护主机的操作系统
13.03.2021
电子科技大学成都学院
26
缺点 对加密通信无能为力 对高速网络无能为力 不能预测命令的执行后果
13.03.2021
电子科技大学成都学院
6
6.1.2 入侵检测系统的特点
不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先
13.03.2021
电子科技大学成都学院
7
6.1.3 入侵行为的误判
产生伯努里矢量的方法就是用属性i的数值xi与测量 表中相应的阈值范围比较,当超出范围时,bi被置1, 否则bi置0。产生伯努里矢量的函数可描述为:
0
bi
1
tim , inxi tim , ax
其他
13.03.2021
电子科技大学成都学院
14
步骤3:产生加权入侵值。
加类性超型权过的入阈第侵值i矢个t量i属的W性情=的况<w重在1,要w整2性,个…相入,w关侵n>。中判即定每,中个w的wi对i与重应检要第测程i入度个侵。属 加权入侵值由下式给出:
会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为 的 各 种 属 性 的 数 量 。 会 话 开 始 于 login , 终 止 于 logout,login和logout次数也作为会话矢量的一部 分。可监视20多种属性,如:工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
有通过网络在本地进行,此时基于网络的IDS系 统将无能为力 适应交换和加密 不要求额外的硬件
缺点:
看不到网络活动的状况 运行审计功能要占用额外系统资源 主机监视感应器对不同的平台不能通用 管理和实施比较复杂
13.03.2021
电子科技大学成都学院
25
基于网络的入侵检测
概念
在网络通信中寻找符合网络入侵模板的数据包, 并立即做出相应反应,如发生电子邮件、记录日 志、切断网络连接等。
加权入侵值
步骤4:若加权入侵值大于预设的阈值,则给 出报警。
13.03.2021
电子科技大学成都学院
15
模型应用实例
利用该模型设计一防止网站被黑客攻击的预 警系统。考虑到一个黑客应该攻击他自己比 较感兴趣的网站,因此可以在黑客最易发起 攻击的时间段去统计各网页被访问的频率, 当某一网页突然间被同一主机访问的频率剧 增,那么可以判定该主机对某一网页发生了 超乎寻常的兴趣,这时可以给管理员一个警 报,以使其提高警惕。
13.03.2021
电子科技大学成都学院
27
集成入侵检测
概念:综合前几种技术的入侵检测方法 优点
具有每一种检测技术的优点,并试图弥补各自的 不足
趋势分析 稳定性好 节约成本 缺点 在安防问题上不思进取 把不同供应商的组件集成在一起较困难
13.03.2021
电子科技大学成都学院
28
优点:数据的集中处理可以更加准确地分析 可能的入侵行为
13.03.2021
电子科技大学成都学院
31
缺点:
可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模;分布式的数 据收集常会引起网络数据过载问题。
难于重新配置和添加新功能。要使新的设 置和功能生效,IDS通常要重新启动。
中央分析器是个单一失效点。数据的集中 处理使检测主机成了网络安全的瓶颈,若 它出现故障或受到攻击,则整个网络的安 全将无从保障。
则给出报警,提醒管理员,网页可能将会被 破坏。
13.03.2021
电子科技大学成都学院
17
Baidu Nhomakorabea模型存在的缺陷和问题,如:
大量审计日志的实时处理问题。尽管审计日志能提供大 量信息,但它们可能遭受数据崩溃、修改和删除。并且 在许多情况下,只有在发生入侵行为后才产生相应的审 计记录,因此该模型在实时监控性能方面较差。
阈值矢量的设置存在缺陷。由于模型依赖于用户正常行 为的规范性,因此用户行为变化越快,误警率也越高。
预设入侵阈值的选择问题,即如何更加科学地设置入侵 阈值,以降低误报率、漏报率。
13.03.2021
电子科技大学成都学院
18
网络安全与病毒防范
第六章 入侵检测与安全审计系统
6.1 入侵检测系统 6.2 安全审计系统
13.03.2021
电子科技大学成都学院
2
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、 机密性和可用性的活动。
入侵检测顾名思义,是指通过对计算机网络或计 算机系统中的若干关键点收集信息并对其进行分 析,从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
13.03.2021
电子科技大学成都学院
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
13.03.2021
电子科技大学成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
13.03.2021
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
13.03.2021
电子科技大学成都学院
32
分布式结构
采用多个代理在网络各部分分别进行入侵检测,并 且协同处理可能的入侵行为。
优点:能够较好地实现数据的监听,可以检测内部和 外部的入侵行为。
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时,签名数据库更新不够快。
13.03.2021
电子科技大学成都学院
30
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期,大都采用单一的体系结构, 即所有的工作包括数据的采集、分析都由单 一主机上的单一程序来完成。
注意:一些所谓的分布式IDS只是在数据采集上实 现了分布式,数据的分析、入侵的发现和识别还是 由单一程序来完成。
13.03.2021
电子科技大学成都学院
8
6.1.4 入侵分析方法
签名分析法 统计分析法 数据完整性分析法
13.03.2021
电子科技大学成都学院
9
签名分析法
主要用来监测对系统的已知弱点进行攻击的 行为。
方法:从攻击模式中归纳出它的签名,编写 到IDS系统的代码里。
签名分析实际上是一种模板匹配操作: 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库
13.03.2021
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。
如同大楼的监视系统。
13.03.2021
电子科技大学成都学院
16
借助该模型,可以根据某一时间段的Web日 志信息产生会话矢量,该矢量描述在特定时 间 明第段i同个一网请页求被主访机问访的频问率各;网接页着的根频据率阈,值xi矢说 量产生伯努里矢量,此处的阈值矢量定为各
网页被访问的正常频率范围;然后计算加权 入 度 要保侵相护值关;,,最加即后权若若矢wi>加量w权中j,入的表侵w明i与值网网大页页于i比需预网受设页的保j阈护更值程需,
6.1.5 入侵检测系统的主要类型
分类 根据其采用的分析方法可分为
异常检测 误用检测
根据系统的工作方式可分为
离线检测 在线检测
根据系统所检测的对象可分为
基于主机的 基于网络的
13.03.2021
电子科技大学成都学院
19
异常检测
需要建立目标系统及其用户的正常活动模型, 然后基于这个模型对系统和用户的实际活动 进行审计,当主体活动违反其统计规律时, 则将其视为可疑行为。
13.03.2021
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。
6.1.6 入侵检测系统的优点和不足
优点
能够使现有的安防体系更完善 能够更好地掌握系统的情况 能够追踪攻击者的攻击线路 界面友好,便于建立安防体系 能够抓住肇事者
13.03.2021
电子科技大学成都学院
29
不足
不能够在没有用户参与的情况下对攻击行为展开调 查
不能够在没有用户参与的情况下阻止攻击行为的发 生
正误判——将一个合法操作判断为异常行为。
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
始于80年代早期,通常采用查看针对可疑行为的 审计记录来执行。
对新的记录条目与攻击特征进行比较,并检查不 应该被改变的系统文件的校验和来分析系统是否 被侵入或被攻击。
若发现与攻击模式匹配,IDS系统通过向管理员 报警和其他呼叫行为来响应。
13.03.2021
电子科技大学成都学院
24
优点:
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没
13.03.2021
电子科技大学成都学院
22
主要类型
应用软件入侵检测
概念:在应用级收集信息 优点:控制性好 缺点:
需要支持的应用软件数量多 只能保护一个组件
13.03.2021
电子科技大学成都学院
23
基于主机的入侵检测
概念
在宿主系统审计日志文件中寻找攻击特征,然后 给出统计分析报告。
13.03.2021
电子科技大学成都学院
13
步骤2:产生伯努里矢量。
伯努里矢量B=<b1,b2,…,bn>是单一2值矢量,表示 属性的数目是否在正常用户的阈值范围之外。阈值 矢量T=<t1,t2,…,tn>表示每个属性的范围,其中ti是 <ti,min, ti,max>形式的元组,代表第i个属性的范围。 这样阈值矢量实际上构成了一张测量表。算法假设 ti服从高斯分布(即:正态分布)。
缺点:只能发现攻击库中已知的攻击,不能检测未知 的入侵,也不能检测已知入侵的变种,因而会发生 漏报;复杂性将随着攻击数量的增加而增加。
13.03.2021
电子科技大学成都学院
21
离线检测
在事后分析审计事件,从中检查入侵活动,是 一种非实时工作的系统。
在线检测
实时联机的检测系统,包含对实时网络数据 包分析,对实时主机审计分析。
关键:异常阈值和特征的选择
优点:可以发现新型的入侵行为,漏报少
缺点:容易产生误报
13.03.2021
电子科技大学成都学院
20
误用检测
假定所有入侵行为和手段(及其变种)都能够表达 为一种模式或特征,系统的目标就是检测主体活动 是否符合这些模式。
优点:可以有针对性地建立高效的入侵检测系统, 其精确度较高,误报少。
工作流程
根据计算机审计记录文件产 生代表用户会话行为的会话 矢量,然后对这些会话矢量 进行分析,计算出会话的异 常值,当该值超过阈值便产 生警告。
13.03.2021
电子科技大学成都学院
12
步骤1:产生会话矢量。
根据审计文件中的用户会话(如用户会话包括login和 logout之间的所有行为)产生会话矢量。
优点 花费低 检查所有的包头来识别恶意和可疑行为
处于比较隐蔽的位置,基本上不对外提供服务, 比较坚固。
具有更好的实时性 检测不成功的攻击和恶意企图 基于网路的IDS不依赖于被保护主机的操作系统
13.03.2021
电子科技大学成都学院
26
缺点 对加密通信无能为力 对高速网络无能为力 不能预测命令的执行后果
13.03.2021
电子科技大学成都学院
6
6.1.2 入侵检测系统的特点
不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先
13.03.2021
电子科技大学成都学院
7
6.1.3 入侵行为的误判
产生伯努里矢量的方法就是用属性i的数值xi与测量 表中相应的阈值范围比较,当超出范围时,bi被置1, 否则bi置0。产生伯努里矢量的函数可描述为:
0
bi
1
tim , inxi tim , ax
其他
13.03.2021
电子科技大学成都学院
14
步骤3:产生加权入侵值。
加类性超型权过的入阈第侵值i矢个t量i属的W性情=的况<w重在1,要w整2性,个…相入,w关侵n>。中判即定每,中个w的wi对i与重应检要第测程i入度个侵。属 加权入侵值由下式给出:
会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为 的 各 种 属 性 的 数 量 。 会 话 开 始 于 login , 终 止 于 logout,login和logout次数也作为会话矢量的一部 分。可监视20多种属性,如:工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
有通过网络在本地进行,此时基于网络的IDS系 统将无能为力 适应交换和加密 不要求额外的硬件
缺点:
看不到网络活动的状况 运行审计功能要占用额外系统资源 主机监视感应器对不同的平台不能通用 管理和实施比较复杂
13.03.2021
电子科技大学成都学院
25
基于网络的入侵检测
概念
在网络通信中寻找符合网络入侵模板的数据包, 并立即做出相应反应,如发生电子邮件、记录日 志、切断网络连接等。
加权入侵值
步骤4:若加权入侵值大于预设的阈值,则给 出报警。
13.03.2021
电子科技大学成都学院
15
模型应用实例
利用该模型设计一防止网站被黑客攻击的预 警系统。考虑到一个黑客应该攻击他自己比 较感兴趣的网站,因此可以在黑客最易发起 攻击的时间段去统计各网页被访问的频率, 当某一网页突然间被同一主机访问的频率剧 增,那么可以判定该主机对某一网页发生了 超乎寻常的兴趣,这时可以给管理员一个警 报,以使其提高警惕。
13.03.2021
电子科技大学成都学院
27
集成入侵检测
概念:综合前几种技术的入侵检测方法 优点
具有每一种检测技术的优点,并试图弥补各自的 不足
趋势分析 稳定性好 节约成本 缺点 在安防问题上不思进取 把不同供应商的组件集成在一起较困难
13.03.2021
电子科技大学成都学院
28
优点:数据的集中处理可以更加准确地分析 可能的入侵行为
13.03.2021
电子科技大学成都学院
31
缺点:
可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模;分布式的数 据收集常会引起网络数据过载问题。
难于重新配置和添加新功能。要使新的设 置和功能生效,IDS通常要重新启动。
中央分析器是个单一失效点。数据的集中 处理使检测主机成了网络安全的瓶颈,若 它出现故障或受到攻击,则整个网络的安 全将无从保障。
则给出报警,提醒管理员,网页可能将会被 破坏。
13.03.2021
电子科技大学成都学院
17
Baidu Nhomakorabea模型存在的缺陷和问题,如:
大量审计日志的实时处理问题。尽管审计日志能提供大 量信息,但它们可能遭受数据崩溃、修改和删除。并且 在许多情况下,只有在发生入侵行为后才产生相应的审 计记录,因此该模型在实时监控性能方面较差。