入侵检测系统

入侵检测系统

1. 引言

1.1 背景

近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System ，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击, 对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护, 大大提高了网络的安全性。

1.2 背国内外研究现状

入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort ，虽然它已经跟不上发展的脚步，但它也是各种商业IDS 的参照系；NFR 公司的NID 等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS 、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

2. 入侵检测的概念和系统结构

2.1 入侵检测的概念

入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵检测系统（Intrusion Detection System ），简称IDS 。一个完整的入侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构

入侵检测系统的基本结构构成CIDF （Common Intrusion Detection Frame, 公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF ）的体系结构

(1) 事件产生器（Event generators ） 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类

通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测系统进行分类

3.1 根据目标系统的类型分类

根据目标系统类型的不同可以将入侵检测系统分为如下两类。

(1) 基于主机（host-based ）的入侵检测系统

通常，基于主机的入侵检测系统可以检测系统、事件和操作系统下的安全记录以及系统记录。当文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看他们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于主机的入侵检测系统如图3-1。

图3-1 基于主机的入侵检测系统的基本结构

(2) 基于网络（network-based ）的入侵检测系统

基于网络的入侵检测系统使用原始网络数据包作为数据源。它通常利用一个运行

在混杂模式下的网络适配器来实时监视并分析网络的所有通信业务。基于网络的入侵检测系统的基本结构如图3-2。

图3-2 基于主机的入侵检测系统的基本结构

3.2 根据入侵检测分析方法分类

根据入侵检测分析方法的不同可以将入侵检测系统分为如下两类。

（1）误用入侵检测（特征检测 signature-based）

误用检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击，检测精度高，误报少。但需要不断更新攻击的特征库，系统灵活性和自适应性较差，漏报较多。商用IDS 多采用该种检测方法。

（2）异常入侵检测（anomaly-based ）

异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。也就是，异常检测是对用户的正常行为建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。异常检测的误报较多。目前，大多数的异常检测技术还处于研究阶段，基本没有用于商业IDS 中。

3.3 根据检测系统各个模块运行的分布方式分类

根据检测系统各个模块运行的分布方式的不同可以将入侵检测系统分为如下两类。

(1) 集中式入侵检测系统

集中式IDS 有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。

（2）分布式（协作式）入侵检测系统

分布式IDS 是将中央检测服务器的任务分配给多个基于主机的IDS ，这些IDS 不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS 相比，分布式IDS 对基于网络的共享数据量的要求较低。但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

3.4 其他的分类方法

(1) 根据入侵检测系统分析的数据来源分类

入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

(2) 根据系统对入侵攻击的响应方式分类

①主动的入侵检测系统系统。 在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者) 退出以及关闭相关服务等对策和响应措施。

②被动的入侵检测系统。检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。

4. 入侵检测系统的功能

4.1 入侵检测系统的主要功能：

(1) 监视并分析用户和系统的行为；

(2) 审计系统配置和漏洞；

(3) 评估敏感系统和数据的完整性；

(4) 识别攻击行为、对异常行为进行统计；

(5) 自动收集与系统相关的补丁；

(6) 审计、识别、跟踪违反安全法规的行为；

(7) 使用诱骗服务器记录黑客行为；

4.2 入侵检测系统的功能结构

4.2.1 入侵检测系统的工作模式

入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应) ，提高了信息安全基础结构的完整性。

入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象。

无论对于什么类型的入侵检测系统，其工作模式都可以体现为以下步骤。下图所示：

4.2.2 入侵检测系统的功能结构

一个典型的入侵检测系统从功能上可以分为3个组成部分：感应器（Sensor ）、分析器（Analyzer ）和管理器（Menager ）, 如图4-2所示：

图 4-2入侵检测系统的功能结构

4.2.2.1 信息收集模块

感应器负责收集信息

图4-1 工作模式

(1) 收集的数据内容

主机和网络日志文件；目录和文件中不期望的改变；程序执行中的不期望行为；物理形式的入侵信息

(2) 入侵检测系统的数据收集机制

基于主机的数据收集和基于网络的数据收集；分布式与集中式数据收集机制；直接监控和间接监控；外部探测器和内部探测器

4.2.2.2 数据分析模块

分析器从许多感应器接受信息，并对这些信息进行分析以决定是否有入侵行为发生，就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断

4.2.2.3 入侵响应模块

管理器通常也被称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据及相应的分析结果，用户可以通过管理器对入侵检测系统进行配置，设定各种系统的参数，从而对入侵行为进行检测以及相应措施进行管理。

一个好的IDS 应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。

(1) 主动响应

系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。

(2) 被动响应

在被动响应系统中，系统只报告和记录发生的事件。

5. 入侵检测器的部署

对于入侵检测系统来说，其类型不同，应用环境不同，部署方案也就会有所差别。

5.1在基于网络的IDS 中部署入侵检测器

基于网络的IDS 主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体可安排在下图中的几个位置：

检测器(3)(4) 检测器

(1) 检测器(2)(4)

图5-1基于网络的IDS 中部署入侵检测器

其中，检测器可安放的位置: DMZ(DeMilitarized Zone,隔离区) 也称“非军事化区”；内网主干(防火墙内侧) ；外网入口(防火墙外侧) ；在防火墙的内外都放置；关键子网

5.2在基于主机的IDS 中部署入侵检测器

基于主机的IDS 通常是一个程序，部署在最重要、最需要保护的主机上用于保护关键主机或服务器。

6. 入侵检测系统的发展方向及评估

6.1 入侵检测系统

(1)入侵检测系统的优点：

提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟 踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。

(2) 入侵检测系统的局限：

在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安策略 的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；

6.2 近年对入侵检测系统有几个主要发展方向

(1) 分布式入侵检测与通用入侵检测架构

传统的IDS 一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS 系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

(2) 应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS 仅能检测如WEB 之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

(3) 智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS 加以进一步的研究以解决其自学习与自适应能力。

入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术(模式识别和完整性检测) 外，应重点加强统计分析的相关技术研究。

参考文献：

［1］ 曹元大. 入侵检测技术［M ］. 第1版. 北京：人民邮电出版社，2007.

［2］ 何新权. 计算机等级教程［M ］. 第2012年版. 北京：高等教育出版社，1957.

［3］ 刘远生. 网络安全实用教程［M ］. 第2011年版. 北京：人民邮电出版社，2011.

［4］ 唐正军. 入侵检测系统技术导论[M] .北京：机械工业出版社,2004.

[5］ 宋劲松. 网络入侵检测[M] .北京：国防工业出版社,2004.9。

[6］ 刘文涛. 网络安全开发包详解[M] .北京：电子工业出版社,2005.

[7］ 张世斌. 网络安全技术[M] .北京：清华大学出版社,2004.

[8］ 谢希仁. 计算机网络[M] .北京：电子工业出版社,2003.

入侵检测系统

1. 引言

1.1 背景

近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System ，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击, 对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护, 大大提高了网络的安全性。

1.2 背国内外研究现状

入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort ，虽然它已经跟不上发展的脚步，但它也是各种商业IDS 的参照系；NFR 公司的NID 等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS 、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

2. 入侵检测的概念和系统结构

2.1 入侵检测的概念

入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。使监控和分析过程自动化的软件或硬件产品称为入侵检测系统（Intrusion Detection System ），简称IDS 。一个完整的入侵检测系统必须具有：经济性、时效性、安全性、可扩展性的特点。

2.2 入侵检测的系统结构

入侵检测系统的基本结构构成CIDF （Common Intrusion Detection Frame, 公共入侵检测框架）提出了通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库，见图。

图2-1公共入侵检测框架（CIDF ）的体系结构

(1) 事件产生器（Event generators ） 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进行追踪，然后将收集到的原始数据转换为事件，并向系统的其他部分提供此事件。

(2) 事件分析器（Event analyzers） 事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异常现象，最后把判断的结果转换为警告信息。

(3) 事件数据库（Response units ） 事件数据库是存放各种中间和最终数据的地方。

(4) 响应单元（Response units ） 响应单元根据警告信息做出反应，如切断连接、改变文本属性等强烈的反应，也可能是简单地报警。它是入侵检测系统中的主动武器。

3. 入侵检测系统的分类

通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测系统进行分类

3.1 根据目标系统的类型分类

根据目标系统类型的不同可以将入侵检测系统分为如下两类。

(1) 基于主机（host-based ）的入侵检测系统

通常，基于主机的入侵检测系统可以检测系统、事件和操作系统下的安全记录以及系统记录。当文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看他们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于主机的入侵检测系统如图3-1。

图3-1 基于主机的入侵检测系统的基本结构

(2) 基于网络（network-based ）的入侵检测系统

基于网络的入侵检测系统使用原始网络数据包作为数据源。它通常利用一个运行

在混杂模式下的网络适配器来实时监视并分析网络的所有通信业务。基于网络的入侵检测系统的基本结构如图3-2。

图3-2 基于主机的入侵检测系统的基本结构

3.2 根据入侵检测分析方法分类

根据入侵检测分析方法的不同可以将入侵检测系统分为如下两类。

（1）误用入侵检测（特征检测 signature-based）

误用检测是基于已知的系统缺陷和入侵模式，所以又称为特征检测。误用检测是对不正常的行为建模，这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析，发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击，检测精度高，误报少。但需要不断更新攻击的特征库，系统灵活性和自适应性较差，漏报较多。商用IDS 多采用该种检测方法。

（2）异常入侵检测（anomaly-based ）

异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。也就是，异常检测是对用户的正常行为建模，通过正常行为与用户的行为进行比较，如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。异常检测的误报较多。目前，大多数的异常检测技术还处于研究阶段，基本没有用于商业IDS 中。

3.3 根据检测系统各个模块运行的分布方式分类

根据检测系统各个模块运行的分布方式的不同可以将入侵检测系统分为如下两类。

(1) 集中式入侵检测系统

集中式IDS 有多个分布在不同主机上的审计程序，仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多，中央服务器进行分析处理的数量就会猛增，而且一旦服务器遭受攻击，整个系统就会崩溃。

（2）分布式（协作式）入侵检测系统

分布式IDS 是将中央检测服务器的任务分配给多个基于主机的IDS ，这些IDS 不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都等到了显著的提高，并且与集中式IDS 相比，分布式IDS 对基于网络的共享数据量的要求较低。但维护成本却提高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析等。

3.4 其他的分类方法

(1) 根据入侵检测系统分析的数据来源分类

入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

(2) 根据系统对入侵攻击的响应方式分类

①主动的入侵检测系统系统。 在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者) 退出以及关闭相关服务等对策和响应措施。

②被动的入侵检测系统。检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。

4. 入侵检测系统的功能

4.1 入侵检测系统的主要功能：

(1) 监视并分析用户和系统的行为；

(2) 审计系统配置和漏洞；

(3) 评估敏感系统和数据的完整性；

(4) 识别攻击行为、对异常行为进行统计；

(5) 自动收集与系统相关的补丁；

(6) 审计、识别、跟踪违反安全法规的行为；

(7) 使用诱骗服务器记录黑客行为；

4.2 入侵检测系统的功能结构

4.2.1 入侵检测系统的工作模式

入侵检测是防火墙的合理补充，帮助系统对付来自外部或内部的攻击，扩展了系统管理员的安全管理能力(如安全审计、监视、攻击识别及其响应) ，提高了信息安全基础结构的完整性。

入侵检测系统的主要工作就是从信息系统的若干关键点上收集信息，然后分析这些信息，用来得到网络中有无违反安全策略的行为和遭到袭击的迹象。

无论对于什么类型的入侵检测系统，其工作模式都可以体现为以下步骤。下图所示：

4.2.2 入侵检测系统的功能结构

一个典型的入侵检测系统从功能上可以分为3个组成部分：感应器（Sensor ）、分析器（Analyzer ）和管理器（Menager ）, 如图4-2所示：

图 4-2入侵检测系统的功能结构

4.2.2.1 信息收集模块

感应器负责收集信息

图4-1 工作模式

(1) 收集的数据内容

主机和网络日志文件；目录和文件中不期望的改变；程序执行中的不期望行为；物理形式的入侵信息

(2) 入侵检测系统的数据收集机制

基于主机的数据收集和基于网络的数据收集；分布式与集中式数据收集机制；直接监控和间接监控；外部探测器和内部探测器

4.2.2.2 数据分析模块

分析器从许多感应器接受信息，并对这些信息进行分析以决定是否有入侵行为发生，就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断

4.2.2.3 入侵响应模块

管理器通常也被称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据及相应的分析结果，用户可以通过管理器对入侵检测系统进行配置，设定各种系统的参数，从而对入侵行为进行检测以及相应措施进行管理。

一个好的IDS 应该让用户能够裁剪定制其响应机制，以符合特定的需求环境。

(1) 主动响应

系统自动或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程，通常可以选择的措施有：针对入侵者采取的措施；修正系统；收集更详细的信息。

(2) 被动响应

在被动响应系统中，系统只报告和记录发生的事件。

5. 入侵检测器的部署

对于入侵检测系统来说，其类型不同，应用环境不同，部署方案也就会有所差别。

5.1在基于网络的IDS 中部署入侵检测器

基于网络的IDS 主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体可安排在下图中的几个位置：

检测器(3)(4) 检测器

(1) 检测器(2)(4)

图5-1基于网络的IDS 中部署入侵检测器

其中，检测器可安放的位置: DMZ(DeMilitarized Zone,隔离区) 也称“非军事化区”；内网主干(防火墙内侧) ；外网入口(防火墙外侧) ；在防火墙的内外都放置；关键子网

5.2在基于主机的IDS 中部署入侵检测器

基于主机的IDS 通常是一个程序，部署在最重要、最需要保护的主机上用于保护关键主机或服务器。

6. 入侵检测系统的发展方向及评估

6.1 入侵检测系统

(1)入侵检测系统的优点：

提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟 踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。

(2) 入侵检测系统的局限：

在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安策略 的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；

6.2 近年对入侵检测系统有几个主要发展方向

(1) 分布式入侵检测与通用入侵检测架构

传统的IDS 一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS 系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

(2) 应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS 仅能检测如WEB 之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

(3) 智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS 加以进一步的研究以解决其自学习与自适应能力。

入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术(模式识别和完整性检测) 外，应重点加强统计分析的相关技术研究。

参考文献：

［1］ 曹元大. 入侵检测技术［M ］. 第1版. 北京：人民邮电出版社，2007.

［2］ 何新权. 计算机等级教程［M ］. 第2012年版. 北京：高等教育出版社，1957.

［3］ 刘远生. 网络安全实用教程［M ］. 第2011年版. 北京：人民邮电出版社，2011.

［4］ 唐正军. 入侵检测系统技术导论[M] .北京：机械工业出版社,2004.

[5］ 宋劲松. 网络入侵检测[M] .北京：国防工业出版社,2004.9。

[6］ 刘文涛. 网络安全开发包详解[M] .北京：电子工业出版社,2005.

[7］ 张世斌. 网络安全技术[M] .北京：清华大学出版社,2004.

[8］ 谢希仁. 计算机网络[M] .北京：电子工业出版社,2003.