入侵检测技术原理及应用MSE安全攻防培训资料.pptx

1、第十二讲 入侵检测技术 原理及应用2 2主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理3 3主要内容入侵检测系统定义和模型入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理4 4入侵及入侵检测系统的定义入侵 绕过系统安全机制的非授权行为。绕过系统安全机制的非授权行为。危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起

2、的。外或者更高的非法权限的授权用户等引起的。入侵检测 是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。入侵检测系统 自动进行这种监测和分析过程的软件或硬件产品。自动进行这种监测和分析过程的软件或硬件产品。5 5入侵检测（入侵检测（Intrusion DetectionIntrusion Detection），顾名思义，），顾名思义，便是对入侵行为的发觉便是对入侵行为的发觉它通过对计算机网络或计算机系统中得若干关键它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系点收集信息并对其

3、进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象统中是否有违反安全策略的行为和被攻击的迹象入侵检测系统（入侵检测系统（Intrusion Detection System,Intrusion Detection System,简简称称IDSIDS）是进行入侵检测的软件与硬件的组合）是进行入侵检测的软件与硬件的组合与其他安全产品不同的是，入侵检测系统需要更与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能并得出有用的结果。一个合格的入侵检测系统能大大的简化管理

4、员的工作，保证网络安全的运行大大的简化管理员的工作，保证网络安全的运行入侵检测技术简介6 6n n监测并分析用户和系统的活动监测并分析用户和系统的活动n n核查系统配置和漏洞核查系统配置和漏洞n n评估系统关键资源和数据文件的完整性评估系统关键资源和数据文件的完整性n n识别已知的攻击行为识别已知的攻击行为n n统计分析异常行为统计分析异常行为n n操作系统日志管理，并识别违反安全策略的操作系统日志管理，并识别违反安全策略的用户活动用户活动n n实时通知实时通知入侵检测系统的主要功能7 7IDS产品常见结构控制台控制台CONSOLE传感器传感器SENSOR传感器传感器SENSOR传感器传感器S

5、ENSOR传感器传感器SENSOR传感器传感器SENSOR8 8IDWGIntrusion Detection Working GroupIDWG:IDWG:入侵检测工作组入侵检测工作组 http:/www.ietf.org/html.charters/idwg-charter.htmlhttp:/www.ietf.org/html.charters/idwg-charter.html目的：目的：n n定义数据格式定义数据格式n n定义交换流程定义交换流程 输出输出n n需求文件需求文件 n n公共入侵检测语言规范公共入侵检测语言规范n n 框架文件框架文件目前成果目前成果n n尚未形成正式标

6、准，形成尚未形成正式标准，形成 4 4个草案个草案9 9IDWG通用IDS模型p 入侵检测系统（入侵检测系统（IDS）一个或多个下列组建的组合：传感器、分析器和管理器。p 安全策略安全策略 预定义的、正式的成文的说明，它定义了组织机构内网络或特定主机上允许发生的目的为支持组织机构要求的活动。它包括但不限于下列活动：哪一台主机拒绝外部网络访问等。IETF IDWG（Intrusion Detection Working Group）Draft：Intrusion Detection Message Exchange Requirements 1010CIDFCommon Intrusion De

7、tection FrameworkCommon Intrusion Detection Framework历史历史 n nDARPADARPA（Defense Advanced Research Projects AgencyDefense Advanced Research Projects Agency）的）的Teresa LuntTeresa Lunt女士提出女士提出 n nStuart Staniford-ChenStuart Staniford-Chen对对CIDFCIDF概念进行拓宽概念进行拓宽通用入侵检测框架通用入侵检测框架Common Intrusion Detection C

8、ommon Intrusion Detection FrameworkFrameworkn n体系结构的体系结构的IDSIDS模块模块 n n用于审计数据和数据传送的规范用于审计数据和数据传送的规范 CIDFCIDF信息信息n nhttp:/www.seclab.ucdavis.edu/cidf/spec/cidf.txthttp:/www.seclab.ucdavis.edu/cidf/spec/cidf.txtn nhttp:/www.isi.edu/gost/cidf/http:/www.isi.edu/gost/cidf/1111 标准APIE 事件生成器 A 事件分析器 D 事件数据

9、库 C 系统特定的控制器CIDF通用入侵检测框架l 标准接口标准接口 -数据搜集、分析和响应组件的互连框架 -可扩展的体系 -核心技术的重用 -方便技术转让 -减少成本 l IDS框架、分层通信、CISL语言、API1212CVECommon Vulnerabilities and ExposuresCommon Vulnerabilities and ExposuresCVECVE：Common Vulnerabilities and ExposuresCommon Vulnerabilities and Exposuresn n是脆弱性和其他信息安全暴露的标准化名称的列表是脆弱性和其他信息

10、安全暴露的标准化名称的列表CVECVE的目标的目标是标准化命名所有公共已知的脆弱性和安全暴露是标准化命名所有公共已知的脆弱性和安全暴露 n n网址：网址：http:/cve.mitre.org/http:/cve.mitre.org/CVE CVE是：是：n nA Dictionary,NOT a DatabaseA Dictionary,NOT a Databasen nA Community-Wide EffortA Community-Wide Effort n nFreely Available for Review or Download Freely Available for R

11、eview or Download 以上内容：以上内容：http:/cve.mitre.org/about/http:/cve.mitre.org/about/1313入侵检测系统概述功能入侵检测是网络防火墙的逻辑补充，扩展了系统入侵检测是网络防火墙的逻辑补充，扩展了系统管理员的管理员的安全管理能力安全管理能力安全管理能力安全管理能力，提供了安全审计、监控、，提供了安全审计、监控、攻击识别和响应攻击识别和响应 入侵检测系统主要执行功能：入侵检测系统主要执行功能：n n监控和分析监控和分析监控和分析监控和分析用户和系统活动用户和系统活动 n n审计审计审计审计系统配置和脆弱性系统配置和脆弱性 n

12、 n评估评估评估评估关键系统和数据文件的完整性关键系统和数据文件的完整性 n n识别识别识别识别活动模式以反应已知攻击活动模式以反应已知攻击 n n统计分析统计分析统计分析统计分析异常活动模式异常活动模式 n n操作系统审计跟踪管理，操作系统审计跟踪管理，识别违反策略的用户活动识别违反策略的用户活动识别违反策略的用户活动识别违反策略的用户活动 1414主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的发展历史入侵检测系统的原理1515入侵检测系统的历史1980年James P.Anderson 可以使用审计记录以标识误用 威胁分类的分类学 建议在审计子系统的基础上进行改进以检测

13、误用1616入侵检测系统的历史1985 年SRI由美国海军（SPAWAR）资助以建立Intrusion Detection Expert System(IDES)入侵检测专家系统（入侵检测专家系统（IDES）的初步原型。第一个系统中同时使用了statistical and rule-based基于统计和基基于统计和基于规则于规则的方法。1717入侵检测系统的历史1986 年Dorothy Denning发表了“An Intrusion-Detection Model-一个入侵检测的模型一个入侵检测的模型”，入侵检测领域开创性的工作。基本的行为分析机制。一些可能的实现系统的方法。1818入侵检测

14、系统的历史1989 年Todd Heberlien，California,Davis大学的一个学生写了Network Security Monitor(NSM)网络安全监视器（网络安全监视器（NSM），系统设计用于捕获TCP/IP包并检测异构网络中的异常行动。网络入侵检测诞生网络入侵检测诞生网络入侵检测诞生网络入侵检测诞生1919入侵检测系统的历史1992 年计算机误用检测系统（计算机误用检测系统（CMDS）Computer Misuse Detection System(CMDS)Screen Application International Corporation(SAIC)基于在海军报

15、告调查中完成的工作 Stalker（Haystack Labs.）基于为空军完成的原Haystack工作，第一个商业化的主机IDS，用于UNIX2020入侵检测系统的历史1994 年A group of researchers at the 空军加密支持中心（Air Force Cryptological Support Center）的一组研究人员创建了鲁棒的网络入侵检测系统，ASIMASIM，广泛用于空军。来自于一家商业化公司 WheelgroupWheelgroup的开发人员开始商业化网络入侵检测技术。2121入侵检测系统的历史1997 年 Cisco收购了 Wheelgroup并开始将

16、网络入侵检测加入路由器中。Internet Security Systems发布了 RealsecureRealsecure，Windows NT的网络入侵检测系统。开始了网络入侵检测的革命。2222入侵检测系统的历史1998 年 Centrax公司发布了 eNTrax，用于Windows NT的分布主机入侵检测系统 Centrax是由CMDS的开发人员组成，后来加入了建立Stalker的技术队伍。2323主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理入侵检测系统的原理2424入侵检测产品分类按技术按技术按技术按技术n n特征检测特征检测特征检测特征检测n n异常检测异

17、常检测异常检测异常检测按监测对象按监测对象按监测对象按监测对象n n网络入侵检测网络入侵检测网络入侵检测网络入侵检测 (NIDS)(NIDS)(NIDS)(NIDS)n n主机入侵检测主机入侵检测主机入侵检测主机入侵检测 (HIDS)(HIDS)(HIDS)(HIDS)2525特征检测特征检测Signature-based detectionSignature-based detection原理：原理：原理：原理：n n假设入侵者活动可以用一种模式来表示假设入侵者活动可以用一种模式来表示假设入侵者活动可以用一种模式来表示假设入侵者活动可以用一种模式来表示n n系统的目标是检测主体活动是否符合这

18、些模式。系统的目标是检测主体活动是否符合这些模式。系统的目标是检测主体活动是否符合这些模式。系统的目标是检测主体活动是否符合这些模式。n n特征检测可以将已有的入侵方法检查出来，但特征检测可以将已有的入侵方法检查出来，但特征检测可以将已有的入侵方法检查出来，但特征检测可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。对新的入侵方法无能为力。对新的入侵方法无能为力。对新的入侵方法无能为力。难点：难点：难点：难点：n n如何设计模式既能够表达如何设计模式既能够表达如何设计模式既能够表达如何设计模式既能够表达“入侵入侵入侵入侵”现象又不会现象又不会现象又不会现象又不会将正常的活动包含进来。将正

19、常的活动包含进来。将正常的活动包含进来。将正常的活动包含进来。常用方法：常用方法：常用方法：常用方法：n n模式匹配。模式匹配。模式匹配。模式匹配。2626异常检测异常检测 Anomaly detectionAnomaly detection原理原理原理原理n n假设入侵者活动异常于正常主体的活动假设入侵者活动异常于正常主体的活动假设入侵者活动异常于正常主体的活动假设入侵者活动异常于正常主体的活动n n念建立主体正常活动的念建立主体正常活动的念建立主体正常活动的念建立主体正常活动的“活动简档活动简档活动简档活动简档”n n将当前主体的活动状况与将当前主体的活动状况与将当前主体的活动状况与将当前

20、主体的活动状况与“活动简档活动简档活动简档活动简档”相比相比相比相比n n当违反统计规律时，认为该活动可能是当违反统计规律时，认为该活动可能是当违反统计规律时，认为该活动可能是当违反统计规律时，认为该活动可能是“入侵入侵入侵入侵”行行行行为为为为难点难点难点难点n n异常检测的难题在于如何建立异常检测的难题在于如何建立异常检测的难题在于如何建立异常检测的难题在于如何建立“活动简档活动简档活动简档活动简档”以及如以及如以及如以及如何设计统计算法，从而不把正常的操作作为何设计统计算法，从而不把正常的操作作为何设计统计算法，从而不把正常的操作作为何设计统计算法，从而不把正常的操作作为“入侵入侵入侵入

21、侵”或忽略真正的或忽略真正的或忽略真正的或忽略真正的“入侵入侵入侵入侵”行为。行为。行为。行为。常用方法常用方法常用方法常用方法n n概率统计。概率统计。概率统计。概率统计。2727NIDS大多数入侵检测厂商采用的产品形式。通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听，来检测对连接在网段上的多个主机有影响的网络通讯，从而保护那些主机。2828网络入侵检测优点1.网络通信检测能力n nNIDSNIDS能够检测那些来自网络的攻击能够检测那些来自网络的攻击n n它能够检测到超过授权的非法访问它能够检测到超过授权的非法访问2.对正常业务影响少n nNIDSNIDS不需要改

22、变服务器等主机的配置不需要改变服务器等主机的配置n n由于它不会在业务系统中的主机中安装额外的软件由于它不会在业务系统中的主机中安装额外的软件n n从而不会影响这些机器的从而不会影响这些机器的CPUCPU、I/OI/O与磁盘等资源的与磁盘等资源的使用使用n n不会影响业务系统的性能不会影响业务系统的性能2929网络入侵检测优点3.布署风险小n nNIDSNIDS不像路由器、防火墙等关键设备方式工作不像路由器、防火墙等关键设备方式工作n n它不会成为系统中的关键路径它不会成为系统中的关键路径n nNIDSNIDS发生故障不会影响正常业务的运行发生故障不会影响正常业务的运行n n布署布署NIDSN

23、IDS的风险比的风险比HIDSHIDS的风险来得少得多的风险来得少得多4.定制设备，安装简单n nNIDSNIDS近年内有向专门的设备发展的趋势近年内有向专门的设备发展的趋势n n安装安装NIDSNIDS系统非常方便系统非常方便n n只需将定制的备接上电源，做很少一些配置，将其只需将定制的备接上电源，做很少一些配置，将其接上网络即可接上网络即可3030网络入侵检测弱点1.共享网段的局限n nNIDSNIDS只检查它直接连接网段的通信只检查它直接连接网段的通信n nNIDSNIDS不能监测在不同网段的网络包不能监测在不同网段的网络包n n交换以太网环境中就会出现它的监测范围的局限交换以太网环境中

24、就会出现它的监测范围的局限n n多传感器系统会使布署成本增加多传感器系统会使布署成本增加2.性能局限n nNIDSNIDS为了性能目标通常采用特征检测的方法为了性能目标通常采用特征检测的方法它可以高效地检测出普通的一些攻击它可以高效地检测出普通的一些攻击实现一些复杂的需要大量计算与分析时间的攻击检测时，实现一些复杂的需要大量计算与分析时间的攻击检测时，对硬件处理能力要求较高对硬件处理能力要求较高3131网络入侵检测弱点3.中央分析与大数据流量的矛盾中央分析与大数据流量的矛盾n nNIDSNIDS可能会将大量的数据传回分析系统中，会产生大量的可能会将大量的数据传回分析系统中，会产生大量的分析数据

25、流量分析数据流量n n采用以下方法可减少回传的数据量：采用以下方法可减少回传的数据量：对入侵判断的决策由传感器实现，而中央控制台成为状态显对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器示与通信中心，不再作为入侵行为分析器这样的系统中的传感器协同工作能力较弱这样的系统中的传感器协同工作能力较弱3232网络入侵检测弱点4.加密通信加密通信n nNIDSNIDS处理加密的会话过程时，会参与解密操作处理加密的会话过程时，会参与解密操作n n目前通过加密通道的攻击尚不多目前通过加密通道的攻击尚不多n n随着随着IPv6IPv6的普及，这个问题会越来越突出的普及，

26、这个问题会越来越突出3333HIDS基于主机的入侵检测产品（HIDS）通常是安装在被重点检测的主机之上。主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。3434主机入侵检测优点1.入侵行为分析能力n nHIDSHIDS对分析对分析“可能的攻击行为可能的攻击行为”非常有用非常有用除了指出入侵者试图执行一些除了指出入侵者试图执行一些“危险的命令危险的命令”之外之外还能分辨出入侵者干了什么事：还能分辨出入侵者干了什么事：n n运行了什么程序、打开了哪些文件、执行了哪些系运行了什么程序、打开了哪些文件、执行了

27、哪些系统调用统调用n nHIDSHIDS比比NIDSNIDS能够提供更详尽的相关信息能够提供更详尽的相关信息2.误报率低n nHIDSHIDS通常情况下比通常情况下比NIDSNIDS误报率要低误报率要低3535主机入侵检测优点3.复杂性小n n因为监测在主机上运行的命令序列比监测网络流因为监测在主机上运行的命令序列比监测网络流来得简单来得简单4.网络通信要求低n n可布署在那些不需要广泛的入侵检测可布署在那些不需要广泛的入侵检测n n传感器与控制台之间的通信带宽不足的情况下传感器与控制台之间的通信带宽不足的情况下5.布署风险n nHIDSHIDS在不使用诸如在不使用诸如“停止服务停止服务”、“

28、注销用户注销用户”等响应方法时风险较少等响应方法时风险较少3636主机入侵检测弱点1.影响保护目标n nHIDSHIDS安装在需要保护的设备上安装在需要保护的设备上n n可能会降低应用系统的效率可能会降低应用系统的效率n n带来一些额外的安全问题带来一些额外的安全问题如：安装了如：安装了HIDSHIDS后，将本不允许安全管理员有权力访问后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了的服务器变成他可以访问的了2.服务器依赖性n n依赖于服务器固有的日志与监视能力。如果服务依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会器没有配置日志功能，则必需重

29、新配置，这将会给运行中的业务系统带来不可预见的性能影响给运行中的业务系统带来不可预见的性能影响3737主机入侵检测弱点3.全面布署代价与主机盲点n n全面布署主机入侵检测系统代价较大全面布署主机入侵检测系统代价较大n n若选择部分主机保护若选择部分主机保护n n那些未装那些未装HIDSHIDS的机器将成为保护的盲点的机器将成为保护的盲点n n入侵者可利用这些机器达到攻击目标入侵者可利用这些机器达到攻击目标4.工作量随主机数目线性增加n nHIDSHIDS主机入侵检测系统除了监测自身的主机以外主机入侵检测系统除了监测自身的主机以外n n根本不监测网络上的情况根本不监测网络上的情况n n对入侵行为

30、的分析的工作量将随着主机数目增加对入侵行为的分析的工作量将随着主机数目增加而增加而增加3838n n实时分析的方法实时分析的方法u实时系统可以不间断地提供信息收集、分析和汇报，实时系统提供了多种实时报警，并对攻击自动做出反应n n事后分析的方法事后分析的方法 u在事后分析的方法中，入侵检测系统将事件信息的记录到文件中，并且由入侵检测系统在事后对这些文件进行分析，找出入侵或误用的特征 IDS信息的收集和分析的时间3939n n改变被攻击系统的环境改变被攻击系统的环境u断开进攻者使用的连接 u重新配置网络设施u这种响应机制可让系统管理员在职权范围内采取主动措施，使被检测到的攻击造成的损失最小化n

31、n实时通知实时通知 u即时发送的与事件有关的信息，通知重要人员u电子邮件、寻呼机、手机短消息、传真等对误用或入侵的响应4040入侵检测技术发展方向n n高速网络的数据分析能力高速网络的数据分析能力n n分布式入侵检测与通用入侵检测架构分布式入侵检测与通用入侵检测架构 n n智能的入侵检测智能的入侵检测 n n入侵检测的评测方法入侵检测的评测方法n n与其它网络安全技术相结合与其它网络安全技术相结合 4141使用网络协处理器提高处理能力4242收到收到报警警攻攻击检测主主动响响应产生生临时阻阻挡策略策略内部内部违规用用户攻攻击报警、警、记录阻断入侵行阻断入侵行为网络入侵检测系统网络入侵检测系统(

32、NIDS)(NIDS)工作流程工作流程NIDSNIDS控制台控制台4343NIDSNIDS传感器的部署位置传感器的部署位置InternetInternet 路由器路由器防火墙防火墙核心交核心交换机换机Web 服务器服务器电子邮件服务器电子邮件服务器FTP 服务器服务器DMZ公共服务网管服务内部服务办公区办公自动化办公自动化数据库数据库办公办公用户用户办公办公用户用户办公办公用户用户IDS管理管理中心中心部署位置部署位置 1 优点：优点：记录源自于互联网目标为本地网络的攻击次数记录源自于互联网目标为本地网络的攻击次数记录源自于互联网目标为本地网络的攻击类型记录源自于互联网目标为本地网络的攻击类型

33、部署位置部署位置 2 优点：优点：查看源自于外部穿透网络边界防护的攻击查看源自于外部穿透网络边界防护的攻击重点关注网络防火墙策略和性能的问题重点关注网络防火墙策略和性能的问题查看目标针对于查看目标针对于DMZ区中区中Web/邮件等服务器的攻击邮件等服务器的攻击即使不能识别入攻击，有时识别被攻击后返回的流量即使不能识别入攻击，有时识别被攻击后返回的流量部署位置部署位置 4 优点：优点：检测对关键系统和资源的攻击检测对关键系统和资源的攻击将有限资源集中在被认为具有最大价值的网络资产上将有限资源集中在被认为具有最大价值的网络资产上部署位置部署位置 3 优点：优点：监控大量的网络流量，增加定位攻击的可

34、能性监控大量的网络流量，增加定位攻击的可能性检测组织机构安全边界内部的授权人员的非授权活动检测组织机构安全边界内部的授权人员的非授权活动4444NIDSNIDS传感器的部署方法传感器的部署方法NIDS传感器的监听端口n n共享环境：共享环境：HubHubn n交换环境交换环境Span/Mirror PortSpan/Mirror Port分接器（分接器（TapTap）4545NIDSNIDS传感器的部署方法传感器的部署方法-共享介质共享介质IDS IDS IDS IDS 传感器传感器传感器传感器控制台InternetInternet 路由器路由器防火墙防火墙核心交核心交换机换机Web 服务器服

35、务器电子邮件服务器电子邮件服务器FTP 服务器服务器DMZDMZ公共服务公共服务公司内网公司内网HubHub4646NIDSNIDS传感器的部署方法传感器的部署方法-SPAN/-SPAN/端口镜像端口镜像InternetInternet 路由器路由器防火墙防火墙核心交核心交换机换机网管服务网管服务内部服务内部服务办公自动化办公自动化数据库数据库IDS IDS IDS IDS 传感器传感器传感器传感器控制台SPANSPAN或镜或镜像端口像端口4747NIDSNIDS传感器的部署方法传感器的部署方法-tap-tap分接器分接器IDS IDS IDS IDS 传感器传感器传感器传感器控制台Inter

36、netInternet 路由器路由器防火墙防火墙核心交核心交换机换机Web 服务器服务器电子邮件服务器电子邮件服务器FTP 服务器服务器DMZDMZ公共服务公共服务公司内网公司内网TapTap分接器分接器分接器分接器4848IDS能够识别的攻击和事件能够识别的攻击和事件 类类 型型说说 明明拒绝服务攻击和分布式拒绝服务攻击通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如，SYN FLOOD攻击，PING FLOOD攻击，WINNUK攻击等。非授权访问攻击攻击者企图读取、写或执行被保护的资源。如FTP ROOT攻击，EMAIL WIZ攻击等。预攻击嗅探攻击者试图从网络中获取用户名、口令等

37、敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。可疑行为非“正常”的网络访问，很可能是需要注意的不安全事件。如IP地址复用，无法识别IP协议的事件。协议分析对协议进行解析，帮助管理员发现可能的危险事件。如FTP口令解析，EMAIL主题解析等。普通网络事件识别各种网络协议包的源、目的IP地址，源、目的端口号，协议类型等。4949入侵检测系统的选择产品是否支持分布式部署是否具有高速网络数据采集分析能力是否能够识别并分析常见的数据通讯协议是否具备完备的检测规则库系统的检测规则更新速度IDS系统和其他安全产品的结合5050内容回顾入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理