入侵检测技术
网络安全领域中的入侵检测技术
网络安全领域中的入侵检测技术随着互联网的发展,网络安全成为人们极为关注的问题。
入侵检测技术是网络安全领域中的一个重要分支,它可以帮助我们发现网络中的攻击行为。
在本文中,我们将讨论入侵检测技术的一些基本概念、技术原理以及应用现状。
一、入侵检测技术的基本概念入侵检测技术(Intrusion Detection Technology,IDT)是指基于一定的规则或模型,利用计算机技术对网络中的攻击行为进行检测、识别和报告的技术。
入侵检测技术主要分为两种:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
1. 基于主机的入侵检测系统基于主机的入侵检测系统是一种利用主机上的日志、配置和文件等信息来检测并识别攻击行为的技术。
它可以监测主机的各种事件,如登录、文件修改、进程创建等等,以此来发现恶意行为。
基于主机的入侵检测系统通常运行在被保护的主机上,可以及时发现、记录和报告异常事件。
2. 基于网络的入侵检测系统基于网络的入侵检测系统是一种利用网络中的数据包来检测并识别攻击行为的技术。
它可以监测网络中的数据流,依据规则或模型来判断是否存在异常数据流,以此来发现攻击行为。
基于网络的入侵检测系统通常部署在网络上的节点上,可以发现整个网络中的异常行为。
二、入侵检测技术的技术原理入侵检测技术的核心是识别网络中的恶意行为。
入侵检测技术根据检测对象的不同,其技术原理也有所不同。
1. 基于主机的入侵检测技术原理基于主机的入侵检测技术原理是利用主机上的系统日志、配置和文件等信息,通过分析这些信息来监测主机的各种事件。
基于主机的入侵检测技术可以分为两类:基于签名检测和基于行为分析。
基于签名检测的入侵检测技术是利用已知的攻击特征来进行匹配,以此来判断是否存在攻击行为。
《入侵检测技术 》课件
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
入侵检测技术名词解释
入侵检测技术名词解释入侵检测技术是指一种用于检测网络安全漏洞、攻击、恶意软件和其他安全威胁的技术。
它可以检测网络中的异常活动,例如未经授权的访问、数据泄露、网络攻击等。
入侵检测技术通常由一系列算法和工具组成,用于分析网络数据包、检测恶意软件的行为和识别潜在的安全漏洞。
以下是入侵检测技术的一些主要名词解释:1. 入侵检测系统(IDS):是一种能够检测网络安全威胁的计算机系统,通常使用算法和规则来检测异常活动,例如IP地址欺骗、SYN洪水、恶意软件等。
2. 入侵防御系统(IDS):是一种能够防止网络安全威胁的计算机系统,通常使用算法和规则来检测和阻止未经授权的访问、攻击和其他安全威胁。
3. 入侵者分析器(IA):是一种用于分析网络数据包的计算机系统,可以检测和识别潜在的安全漏洞和恶意软件。
4. 漏洞扫描器:是一种用于扫描网络和系统漏洞的计算机系统,可以检测和识别系统中的漏洞,以便及时修复。
5. 行为分析器:是一种用于分析网络和系统行为的工具,可以检测和识别恶意软件和其他安全威胁。
6. 漏洞报告器:是一种用于向管理员报告漏洞的计算机系统,以便及时修复。
7. 防火墙:是一种用于保护网络和系统的设备,可以过滤网络流量并防止未经授权的访问。
8. 入侵检测和响应计划:是一种用于检测和响应网络安全威胁的系统和计划,通常包括一个IDS和一个IPS(入侵防御系统)的组合,以保护网络和系统免受入侵者的攻击。
随着网络安全威胁的不断增多,入侵检测技术也在不断发展和改进。
IDS和IPS技术已经越来越成熟,并且可以通过结合其他技术和工具来提高其检测和响应能力。
入侵检测技术不仅可以用于个人网络,还可以用于企业、政府机构和其他组织的网络安全。
入侵检测技术
Snort
DMZ 防火墙 Snort
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
WEBSrv
Internet
没有IDS系统的企业 网络是极不安全的
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
DMZ
基于主机的 IDS 邮件服务器 IDS控制台 Internet
为什么要用入侵检测系统?
防火墙的局限性
(1)防火墙防外不防内。
(2)防火墙一般不提供对内部的保护。 (3)防火墙不能防范不通过它的连接。
(4)防火墙不能防备全部的威胁。
因此为确保网络的安全,就要对网络内部进行实 时的检测,这就要用到IDS无时不在的防护!
8.4.1 入侵检测概述
为什么要用入侵检测系统?
与防火墙不同的是,IDS是一个旁路监听设备,无 须网络流量流经它便可以工作。IDS的运行方式有 两种,一种是在目标主机上运行以监测其本身的通 信信息,另一种是在一台单独的机器上运行以监测 所有网络设备的通信信息,比如Hub、路由器。 通常对IDS的部署的唯一要求是:IDS应当挂接在所 有所关注的流量都必须流经的链路上。在这里, “所关注的流量”指的是来自高危网络区域的访问 流量和需要进行统计、监视的网络报文。
8.4.6 入侵检测的发展趋势——IPS
IPS是英文“Intrusion Prevention System”的缩写, 中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不 断发现,传统防火墙技术加传统的入侵检测技术, 已经无法应对一些安全威胁。在这种情况下,IPS技 术应运而生,IPS技术可以深度感知并检测流经的数 据流量,对恶意报文进行丢弃以阻断攻击,对滥用 报文进行限流以保护网络带宽资源。
入侵检测技术
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
入侵检测技术的名词解释
入侵检测技术的名词解释随着数字化时代的来临,网络安全问题日益严峻,入侵检测技术成为保护网络安全的重要手段之一。
本文将对入侵检测技术的相关名词进行解释和探讨,包括入侵检测系统、入侵检测方法、入侵检测规则、入侵检测引擎以及入侵检测系统的分类等。
一、入侵检测系统首先,我们来解释入侵检测系统这一名词。
入侵检测系统(Intrusion Detection System,IDS)是一个软件或硬件设备,用于监测和识别网络或主机上的异常行为或入侵攻击,并及时作出响应。
入侵检测系统通常分为两种类型:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
HIDS主要用于保护单个主机或服务器,通过监测和分析主机上的日志和事件来检测潜在的入侵。
而NIDS则用于监测和分析网络流量,以识别网络中的异常活动和入侵行为。
二、入侵检测方法接下来我们将解释入侵检测技术中常用的几种方法。
入侵检测方法根据数据分析的方式不同,可以分为基于特征的入侵检测(Signature-based Intrusion Detection)和基于异常的入侵检测(Anomaly-based Intrusion Detection)。
基于特征的入侵检测方法是通过事先定义好的规则或特征来识别已知的攻击模式。
它可以将已知的攻击模式和攻击特征与实时监测的网络流量进行匹配,以检测出网络中的攻击行为。
而基于异常的入侵检测方法则是通过监测网络流量或主机运行状态,建立正常行为的模型,当检测到与模型不符的异常行为时,就会发出警告或采取相应的响应措施。
这种方法相对于基于特征的方法,更适用于检测未知的、新型的攻击。
三、入侵检测规则除了入侵检测方法外,入侵检测系统还使用入侵检测规则来定义和识别攻击模式。
入侵检测规则是一系列用于描述攻击特征或行为的规则,通常使用正则表达式等模式匹配技术进行定义。
网络安全入侵检测技术
比较
判定
修正指标:漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备性和监控的频率
不需要对每种入侵行为进行定义,因此能有效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
指标:误报低、漏报高
误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程:
如果控制台与IDS同在一台机器,alert信息将显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员
Alert(警报)
攻击特征是IDS的核心,它使IDS在事件发生时触发特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度
入侵检测系统(IDS)
入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。
入侵检测的起源(1)
数据包=包头信息+有效数据部分
网络服务器1 网络服务器2
检测内容:包头信息+有效数据部分 X 客户端 Internet
注意:
在共享网段上对通信数据进行侦听采集数据主机资源消耗少
提供对网络通用的保护如何适应高速网络环境
非共享网络上如何采集数据
入侵检测技术简述
入侵检测技术简述摘要:作为一个网络管理员,他手中的保卫网络安全的法宝有三:防火墙,入侵检测技术和审计追踪技术。
防火墙主外,能够防御外部Internet上的攻击,但是一旦内部出了“奸细”,防火墙形同虚设,所以,入侵检测技术应运而生。
本文从入侵检测技术产生的背景意义、定义、分类、功能、技术手段、应用范围等几个方面对入侵检测技术进行了系统的介绍。
关键词:入侵检测HIDS NIDS入侵检测技术简述 (1)摘要: (1)正文 (3)1、入侵检测技术的定义 (3)2、入侵检测技术的分类 (3)3、入侵检测技术的功能 (4)4、入侵检测技术的技术手段 (4)5、入侵检测技术的应用范围 (4)6、产品介绍 (4)随着信息时代的不断发展,信息安全问题也随之逐步为人们所关注重视,并投入大量精力来跟黑客等不法行为进行对抗。
面对外网中的非法攻击,人们使用防火墙技术抵御,使其扼杀在外网,但是,“内鬼”的出现却让防火墙措手不及,比如来自内部的非法操作、口令和密码的泄露、软件缺陷以及拒绝服务攻击(Dos)。
加之防火墙也是人工编制出来的程序,也会存在一些漏洞,无法对付层出不穷的应用层后门、通过加密信道的攻击、应用设计缺陷等,而且防火墙技术通常是“被挨打”后才能发挥作用,所以防火墙这种被动的防范方法显得力不从心。
入侵检测系统这种更加仔细,并且能够及时发现并报告系统中异常事件的技术应运而生,成为保护计算机系统安全的另一个强力武器。
1、入侵检测技术的定义入侵检测(Intrusion Detection,ID),即对入侵进行发掘然后向计算机系统报告。
它通过对计算机网络或系统多个关键节点进行信息收集,并且对这些信息进行分析,从中发现计算机网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
相对应的入侵检测系统(Intrusion Detection System, IDS)即实现入侵检测的功能,即对网络传输进行及时监视,检测到可疑事件时发出报警或主动采取措施的网络安全设备。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全学论文
学院:数学与物理学院专业:数学与应用数学班级:121132
姓名:段陵玉
学号: 20131000701 教师:左博新
随着互联网的发展,计算机网络己经在社会、经济、文化和人们的日常生活中扮演着越来越重要的角色。
而入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统是完成入侵检测功能的软件和硬件的集合。
本文从研究入侵技术入手,概要介绍了当前常见的网络安全技术——入侵检测技术,然后,介绍了入侵检测方法的分类,并分析了其检测方法和不足之处。
关键字:入侵检测,入侵检测系统,计算机,信息安全
引言
如今信息技术高速发展,人们越来越依赖于网络进行信息的处理。
因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。
防火墙、加密等技术,总的来说均属于静态的防御技术。
如果单纯依靠这些技术,仍然难以保证网络的安全性。
随着互联网高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。
网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。
基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻。
入侵检测技术是对传统的安全技术(如防火墙)的合理补充。
它通过监视主机系统或网络,能够对恶意或危害计算机资源的行为进行识别和响应。
通过与其它的安全产品的联动,还可以实现对入侵的有效阻止。
入侵检测系统的研究和实现已经成为当前网络安全的重要课题。
一、什么是入侵检测技术
入侵是对信息系统的非授权访问或者未经许可在信息系统中进行的操作。
入侵检测,顾名思义,是对入侵行为的检测,是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。
它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
进行入侵检测的软件与硬件的组合便是入侵检测系统。
入侵检测系统是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控,增强了网络的安全性。
在安全防范方面,入侵检测系统可以实现事前警告、事中防护和事后取证。
入侵检测系统能够在入侵攻击行为对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警;入侵攻击发生时,入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护;被入侵攻击后,入侵检测系统可以提供详细的攻击信息日志,便于取证分析。
相对于防火墙提供的静态防护而言,入侵检测系统侧重于提供动态实时检测防护,因此防火墙和入侵检测系统的结合,能够给网络带来更全面的防护。
二、入侵检测技术发展历史
1980年James P. Anderson在给客户写的一份题为《计算机安全威
胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机
误用,第一次详细阐述了入侵检测的概念。
1990年, Heberlein等
人开发出了NSM(Network Security Monitor) 该系统第一次直接将
网络流作为审计数据来源,因而可以在不将审计数据转换成统一格
式的情况下监控异种主机。
入侵检测系统发展史翻开了新的一页,
两大阵营正式形成:基于网络的IDS和基于主机的IDS。
1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和
基于网络的检测方法集成到一起。
DIDS是分布式入侵检测系统历史
上的一个里程碑式的产品。
从20世纪90年代到现在,入侵检测系
统的研发越来越变得丰富多样化,并在智能化和分布式两个方向取
得了长足的进展。
三、入侵检测系统的分类
入侵检测系统(IDS)依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS );另外按其分析方法可分为异常检测(Anomaly Detection,AD )和误用检测(Misuse Detection,MD)。
1主机型入侵检测系统
基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。
检测系统可以运行在被检测的主机或单独的主机上。
其优点是:确定攻击是否成功;监测特定主机系统活动,较适合有加密和网络交换器的环境,不需要另外添加设备。
其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。
监控分析时可能会曾加该台主机的系统资源负荷.影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。
2 网络型入侵检测系统
网络入侵检测是通过分析主机之间网线上传输的信息来工作的。
它通常利用一个工作在“混杂模式” (Promiscuous Mode) 下的网卡来实时监视并分析通过网络的数据流。
它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。
其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。
其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包对干直接对主机的入侵无法检测出。
3混和入侵检测系统主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,
两种技术结合。
能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。
4 误用检测误用检测又称特征检测,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。
其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
设定一些入侵活动的特征,通过现在的活动是否与这些特征匹配来检测。
常用的检测技术为(1)专家系统:采用一系列的检测规则分析入侵的特征行为。
(2)基于模型:基于模型的入侵检测方法可以仅监测一些主要的审计事件。
当这些事件发生后,再开始记录详细的审计,从而减少审计事件处理负荷。
这种检测方法的另外一个特点是可以检测组合攻击和多层攻击。
(3)简单模式:基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。
当新的审计事件产生时,这一方法将寻找与它相匹配的已知入侵模式。
(4)软计算方法:软计算方法包含了神经网络、遗传算法与模糊技术。
5异常检测异常检测假设是入侵者活动异常于正常主体的活动。
根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
四、入侵检测存在的问题
随着交换技术、加密信道技术和入侵技术的不断发展,对入侵检测技术的要求也越来越高,检测的方法手段也越来越复杂。
1、现代入侵技术具有以下一些特点:综合化和复杂化;间接化;规模化;分布式;范围广。
IDS的检测模型始终落后于攻击者的新知识和技术手段。
主要表现在以下几个方面: 1)利用加密技术欺骗IDS; 2)躲避IDS 的安全策略; 3)快速发动进攻,使IDS无法反应; 4)发动大规模攻击,使IDS判断出错; 5)直接破坏IDS; 6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
五、结束语
在目前的计算机平安状态下,基于防火墙、加密技术的安全防护固然重要,但是,要想进一步改善目前状况,必须要积极发展入侵检测技术,入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,能够做到在网络计算机系统受到危害之前就拦截,从而起到保护作用。
个人认为,入侵检测可以让我们主动降低危害于计算机的风险,非常值得去努力探索这一领域。
如果能把入侵检测做好,便能防患于未然,在事发前就可以预警,事发时能做到安全保护,事发后也能收集有关的入侵信息。
这样就有效减少了网络系统受到的危害,不仅能够充分降低被攻击成功的风险,也能有效降低因入侵而造成的损失。
当下,入侵检测产品仍具有较大的发展空间,而且还需要在技术层面上做很多很多相关的技术研究。
让我们拭目以待,希望以后的入侵检测系统能够做到相当成熟的地步,甚至可以天衣无缝,完美地保护我们的计算机网络系统!!!
参考文献
【1】唐正军,《入侵检测技术》清华大学出版社 2004.
【2】蒋建春,马恒太,任党恩,《软件学报》 2004.
【3】周学广,《信息安全学》机械工业出版社 2003.
【4】薛静锋,宁宇鹏,阎慧,《入侵检测技术》机械工业出版社 2004.
【5】陈斌,《计算机网络安全与防御》信息技术与网络服务,2006.
【6】杨向荣,宋擒豹,沈钧毅,《入侵检测技术研究与系统设计》2004。