(18)第六章入侵检测共50页文档
合集下载
入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
[信管网]信息安全技术第六章-入侵检测技术
![[信管网]信息安全技术第六章-入侵检测技术](https://img.taocdn.com/s3/m/6186f17c1ed9ad51f01df2ce.png)
• 误用检测模型
如果入侵特征与正常的用户行能匹配,则系统 会发生误报;如果没有特征能与某种新的攻击 行为匹配,则系统会发生漏报
特点:采用特征匹配,滥用模式能明显降低错 报率,但漏报率随之增加。攻击特征的细微变 化,会使得滥用检测无能为力
• 入侵检测的分类(2)
按照数据来源:
基于主机:系统获取数据的依据是系统
Automated Response
首先,可以通过重新配置路由器和防火墙,拒绝那些来 自同一地址的信息流;其次,通过在网络上发送reset包 切断连接 但是这两种方式都有问题,攻击者可以反过来利用重新 配置的设备,其方法是:通过伪装成一个友方的地址来 发动攻击,然后IDS就会配置路由器和防火墙来拒绝这 些地址,这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口,这样它 将置于攻击之下,一个补救的办法是:使活动网络接口 位于防火墙内,或者使用专门的发包程序,从而避开标 准IP栈需求
信息分析
模式匹配 统计分析 完整性分析,往往用于事后分析
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背 安全策略的行为
一般来讲,一种进攻模式可以用一个过程(如执 行一条指令)或一个输出(如获得权限)来表示。 该过程可以很简单(如通过字符串匹配以寻找一 个简单的条目或指令),也可以很复杂(如利用 正规的数学表达式来表示安全状态的变化)
VPN
防病毒
保护公网上的内部通信
针对文件与邮件,产品成熟
可视为防火墙上的一个漏洞
功能单一
入侵检测的起源(1)
1980年4月,James P. Anderson :《Computer
入侵检测
入侵检测系统及部署一.什么是入侵检测系统?入侵检测系统(intrusion detection system,简称“IDS”),是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
图 1 入侵检测系统二.入侵检测系统的主要功能IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
[1]这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
图 2 入侵检测系统的主要功能三.入侵检测系统的分类根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。
基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系统上安装一个程序。
HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视。
入 侵 检 测
异常检测技术是通过建立正常或者有效行为的模型的方 法,把当前行为和正常模型相比较,所有不符合于正 常模型的行为都被认为是入侵。
计算机网络安全技术
6
入侵检测
1.3 入侵检测系统
1.入侵检测系统分类
根据检测数据来源的不同,入侵检测系统常被分为基于 主机(HIDS)、基于网络(NIDS)和基于分布式系 统(DIDS)的入侵检测系统。
数据中,检测出符合某一特征的数据。攻击者进行攻
击的时候会留下痕迹,这些痕迹和系统正常运行的时
候产生的信息混在一起。入侵检测的任务就是从这个
混合信息中找出是否有入侵的痕迹,如果有就报警。
从这个原理来看,入侵检测系统有两个重要部分:数
据取得和检测技术。 计算机网络安全技术
3
入侵检测
(2)入侵检测系统的工作流程
计算机网络安全技术
入侵检测
1.1 入侵检测概述
入侵检测系统(Intrusion Detection System,IDS)是一个能检测 出入侵行为发生的系统软件(或者硬件)。它使安全管理员能 够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生 的事件,再分析处理这些事件,检测出入侵事件。
基于主机的入侵检测系统的数据源来自主机,如日志文
件、审计记录等。基于主机的入侵检测系统不但可以 检测出系统的远程入侵,还可以检测出本地入侵。
基于网络的入侵检测系统的数据源是网络流量,其检测
范围是整个网段,它只能检测出远程入侵,对于本地
入侵它是看不到的。 计算机网络安全技术
7
入侵检测
2.典型入侵检测系统 (1)JUMP入侵检测系统 主要技术特点有: • 采取基于状态协议分析的智能匹配算法; • 采用状态转换分析技术来降低系统的误报率,
入侵检测
会话包总数
>1000
<=1000
会话总数据量
会话时长
>58
会话上传数据量
>5000
<=5000
<=58 >10
中度
会话上传与下载 数据量之比
>5
<=5
<=10 轻微
严重
中度
严重
轻微
识别新的入侵攻击(聚类)
智慧数据 财富未来
问题 怎么样来识别新的入侵攻击,新入侵特征是什么?
名称 数据概况 来源 数据描述
数据挖掘在网络入侵检测中的应用
智慧数据 财富未来
入侵检测通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析, 从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测有2种基本方法:误用检测和异常检测。
误用检测
误用检测是基于规则的检测技术或者 模式匹配检测技术,它是将已知的攻 击特征进行编码,存入特征库进行匹 配检测。
识别攻击类型(分类)
智慧数据 财富未来
识别攻击类型(分类)
53、2、、41双选、设击择运载置查算行入输看法算数入模,法据、型并生输设成出置模参型数
智慧数据 财富未来
识别攻击类型(分类)
智慧数据 财富未来
分类规则: IF DST_BYTES>77 AND Service=telnet THEN 攻击类型为guess_passwd
数据挖掘在木马检测的应用
智慧数据 财富未来
木马技术是当今黑客应用的关键技术之一,对网络安全造成严重威胁。
网络会话可以通过多个统计特征值进行描述。正常的HTTP 协议数据会话和木 马操作会话在许多统计特征上存在明显差异。
入侵检测第六章
第6章 基于网络的入侵 检测技术
曹元大主编,人民邮电出版社,2007年
h
1
第6章 基于网络的入侵检测技术
基于网络的入侵检测技术:
分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析
h 12
2. ARP协议和RARP协议 对于像以太网这样的具备广播能力的网络,TCP/IP 使用地址解析协议(ARP)来提供从IP地址到物理 地址的映像服务。提供从物理地址到IP地址映像服 务的则是逆向地址解析协议(RARP)。 (1) ARP协议 ARP只用于解析对方的物理地址,而不用于解析本 机的物理地址。 ARP是采用一种称为“动态绑定”(dynamic binding)的技术来解析对方物理地址的。
h 14
h 15
h 16
3. IP协议 IP协议(Internet Protocol)是TCP/IP协议族的 核心协议之一,它提供了无连接数据包传输和 网际路由服务。 IP通过互联网传输数据报,它是无连接的,各 个IP数据报之间是相互独立的。它是不可靠 的,不保证投递抵达目的地,对分组的丢失、 重复、延迟和顺序错位等情况都不予检测。 在传送数据分组时,IP协议将高层协议数据封 装成IP数据报,然后通过网络接口发送出去。
提供用户网络分布信息服务的接口,如文件传送、 电子邮件服务等。
(2) 表示层
提供两个应用层协议实体之间数据表示的语法,如 加、解密算法等。
(3) 会话层
提供应用层实体会话通道的建立和清除以及会话过 程的维护等。
h
4
(4) 传输层
提供上面面向应用的高3层和以下面向网络的 低3层之间的接口,为会话层提供与具体网络 无关的可靠的端对端通信机制。主要有面向连 接的服务(字节流)和无连接的服务(数据 报)两种服务类型。
曹元大主编,人民邮电出版社,2007年
h
1
第6章 基于网络的入侵检测技术
基于网络的入侵检测技术:
分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析
h 12
2. ARP协议和RARP协议 对于像以太网这样的具备广播能力的网络,TCP/IP 使用地址解析协议(ARP)来提供从IP地址到物理 地址的映像服务。提供从物理地址到IP地址映像服 务的则是逆向地址解析协议(RARP)。 (1) ARP协议 ARP只用于解析对方的物理地址,而不用于解析本 机的物理地址。 ARP是采用一种称为“动态绑定”(dynamic binding)的技术来解析对方物理地址的。
h 14
h 15
h 16
3. IP协议 IP协议(Internet Protocol)是TCP/IP协议族的 核心协议之一,它提供了无连接数据包传输和 网际路由服务。 IP通过互联网传输数据报,它是无连接的,各 个IP数据报之间是相互独立的。它是不可靠 的,不保证投递抵达目的地,对分组的丢失、 重复、延迟和顺序错位等情况都不予检测。 在传送数据分组时,IP协议将高层协议数据封 装成IP数据报,然后通过网络接口发送出去。
提供用户网络分布信息服务的接口,如文件传送、 电子邮件服务等。
(2) 表示层
提供两个应用层协议实体之间数据表示的语法,如 加、解密算法等。
(3) 会话层
提供应用层实体会话通道的建立和清除以及会话过 程的维护等。
h
4
(4) 传输层
提供上面面向应用的高3层和以下面向网络的 低3层之间的接口,为会话层提供与具体网络 无关的可靠的端对端通信机制。主要有面向连 接的服务(字节流)和无连接的服务(数据 报)两种服务类型。
《网络安全》_第06章 入侵检测
IDWG
Intrusion Detection Work Group
IDS系统之间、IDS和网管系统之间 共享的数据格式 统一的通信规程
草案
IDMEF(入侵检测消息交换格式) IDXP(入侵检测交换协议) 最终成为RFC,尚需时日
本次课程内容(入侵检测)
入侵检测概述 入侵检测结构 入侵检测技术 入侵检测部署 入侵检测发展
基于分布式系统的结构
操作提供反馈 训练模块
受训练的agent
网络原语层 原始网络层(DLPI)
基于分布式系统的结构
在最底层是原始网络接口。它提供的接口允许程序传输和接收数据 链路层包。 网络原语层使用原语把从DLPI接口获取原始网络数据,封装成 agent可处理的方式。 在agent用于监控系统之前,必须训练到可以对入侵作出正确反应 。训练是通过一种反馈机制,操作员考虑是否agent的实际行为接 近于给定的流量模式所期望的行为,然后给出训练数据。训练要求 agent减小入侵误报数。 多agent相互协作:每个agent监控整个网络信息流的一个小的方面 。有些情况下,可能需要数个agent一起涵盖可能入侵的所有方面。
入侵者
入侵者可以是一个手工发出命令的人,也可是一个基于入 侵脚本或程序的自动发布命令的计算机。
侵入系统的主要途径
物理侵入 本地侵入 远程侵入
入侵知识简介
进行网络攻击是一件系统性很强的工作,其主要工 作流程是:
目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志
入侵知识简介
利用系统已知的 漏洞、通过输入 区向CGI发送特殊 的命令、发送特 别大的数据造成 缓冲区溢出、猜 测已知用户的口 令,从而发现突 破口。 选中 攻 扫描 网络 击目 标
第6章入侵检测技术
教学内容第6章 入侵检测技术教材章节5教学周次教学课时9授课对象网络工程专业教学环境多媒体教室教学目标理解入侵检测系统的基本概念;了解检测的基本方法以及入侵检测的步骤;掌握一种入侵检测工具。
教学内容1.入侵检测的基本知识(包括:概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等)。
2.入侵检测技术(包括:基本结构、类型、主要方法)。
3.入侵检测系统解决方案。
4.入侵检测系统主要产品。
教学重点1.入侵检测的基本概念。
2.入侵检测系统的工作原理。
3.入侵检测系统的布署。
教学难点入侵检测方法;入侵检测系统的布署。
教学过程本章分3次讲述,共9学时,讲授思路和过程如下:第1次:1.分析防火墙、扫描器等的应用范围,分析其局限性,引出入侵检测技术。
2.介绍入侵检测的概念、作用,分析与防火墙、扫描器的关系。
3.介绍入侵检测的步骤等。
第2次:1.介绍IDS基本结构,强调其控制台的作用。
2.介绍IDS的类型。
3.介绍IDS基本检测入侵的主要方法,重点介绍误用和异常两种方法。
4.通过实例介绍IDS的布署思路和方法。
5.简单介绍目前常用的比较有效的IDS产品。
6.分析使用状况,提出目前IDS的主要问题,研究发展趋势。
《网络安全技术》教案(第6章)作业与要求作业内容:1.分析入侵检测与防火墙的区别。
2.进行实验。
要求:1.记录实验过程和结果。
2.熟练使用IDS设备。
备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。
第6章入侵检测技术前面介绍了防火墙技术,事实上防火墙只是对网络上某个单一点起作用,而且也只能检查每个进出网络用户的合法性。
一旦攻击者攻破了防火墙,那么他就可以在网络内随意通行。
所以,防火墙技术是静态的安全防御技术,它不能解决动态的安全问题。
入侵检测技术是动态安全技术最核心的技术之一,本章将详细讨论入侵检测技术。
(以防火墙的局限性来说明单一产品的缺陷,引出安全防御措施需要不同产品的配合,最终引出入侵检测技术)6.1 入侵检测的基本知识安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3. 过程
4.
监控 特征提取 匹配 判定
4. 指标:误报低、漏报高
误用检测模型
如果入侵特征与正常的用户行为能匹 配,则系统会发生误报;
如果没有特征能与某种新的攻击行为 匹配,则系统会发生漏报。
Misuse Detection
pattern matching
Intrusion Patterns
入侵者经常替换、修改和破坏他们获得访问权的系统 上的文件,同时为了隐藏系统中他们的表现及活动痕 迹,都会尽力去替换系统程序或修改系统日志文件。
信息分析
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较,从而发现违背安全策略 的行为。
测量属性的平均值和偏差将被用来与网络、系统的行为 进行比较,任何观察值在正常值范围之外时,就认为有 入侵发生。
完整性分析
完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特
别有效
结果处理
入侵检测性能关键参数
误报(false positive):如果系统错误地将异
因为不需要对每种入侵行为进行定义,因此能有 效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源
误用检测模型
误用检测
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时,系统就认为这种行为是入侵
信息收集
入侵检测的第一步是信息收集,收集内容包括系统、 网络、数据及用户活动的状态和行为。
需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息。 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和 正确性。
要保证用来检测网络系统的软件的完整性。 特别是入侵检测系统软件本身应具有相当强的坚
入侵检测(Intrusion Detection),顾名思 义,便是对入侵行为的发觉。它通过对计算 机系统、或计算机网络中的若干关键部位收 集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为。入侵检测 的内容包括:试图闯入、成功闯入、冒充其 他用户、违反安全策略、合法用户的泄漏、 独占资源以及恶意使用。
intrusion
activities
Example: if (src_ip == dst_ip) then “land attack” Can’t detect new attacks
三、入侵检测的分类(2)
按系统各模块的运行方式 集中式:系统的各个模块包括数据的收集分 析集中在一台主机上运行。 分布式:系统的各个模块分布在不同的计算 机和设备上。
入侵检测系统(Intrusion Detection System, 简称IDS)是进行入侵检测的软件与硬件的组 合,事实上入侵检测系统就是“计算机和网 络为防止网络小偷安装的警报系统”。
二、IDS基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)信息分析 (3)结果处理
信息收集
入侵检测技术
入侵检测系统概述 入侵检测系统结构 入侵检测技术分类 入侵检测作用
一、入侵检测系统概述
入侵及入侵检测系统的概念 “入侵”(Intrusion)是个广义的概念,是指企图 对计算机系统造成危害的行为。入侵企图或威胁可 以被定义为未经授权蓄意尝试访问信息、篡改信息、 使系统不可靠或不能使用,或者是指有关试图破坏 资源的完整性、机密性及可用性的活动。
显然,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的 企图访问重要文件等等。
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件,包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标。
目录和文件中的不期望的改变(包括修改、创建和删 除),特别是那些正常情况下限制访问的,很可能就 是一种入侵产生的指示和信号。
异常检测模型
异常检测
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其 阀值的集合,用于描述正常行为范围
3. 过程
4. 监控 量化 比较 判定
5.
6.
修正
4. 指标:漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备性和 监控的频率
一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示。该过程 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化)
统计分析
统计分析方法首先给系统对象(如用户、文件、目录和 设备等)创建一个统计描述,统计正常使用时的一些测 量属性(如访问次数、操作失败次数和延时等)。
固性,防网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
系统或网络的日志文件
攻击者常在系统日志文件中留下他们的踪迹,因此, 充分利用系统和网络日志文件信息是检测入侵的必要 条件。
日志文件中记录了各种行为类型,每种类型又包含不 同的信息,例如记录“用户活动”类型的日志,就包 含登录、用户ID改变、用户对文件的访问、授权和认 证信息等内容。
常活动定义为入侵
漏报(false negative):如果系统未能检测出
真正的入侵行为
三、入侵检测的分类(1)
按照分析方法(检测方法) 异常检测模型(Anomaly Detection ):首先总 结正常操作应该具有的特征(用户轮廓),当用 户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型(Misuse Detection):收集非正 常操作的行为特征,建立相关的特征库,当监测 的用户或系统行为与库中的记录相匹配时,系统 就认为这种行为是入侵