第12章入侵检测与入侵防御.ppt

《第12章入侵检测与入侵防御.ppt》由会员分享，可在线阅读，更多相关《第12章入侵检测与入侵防御.ppt（31页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第1212章章 入侵入侵检测检测与入侵防御与入侵防御对付对付网络入侵网络入侵，只有防火墙是不够的。，只有防火墙是不够的。防防火火墙墙只只是是试试图图抵抵挡挡网网络络入入侵侵者者，很很难难去去发发现现入入侵侵的的企企图和成功的入侵图和成功的入侵。这就需要一种新的技术这就需要一种新的技术入侵检测技术。入侵检测技术。入入侵侵检检测测技技术术能能发发现现网网络络入入侵侵者者的的入入侵侵行行为为和和入入侵侵企企图图，及时向用户及时向用户发出警报发出警报，将入侵消灭在成功之前。，将入侵消灭在成功之前。Web信信息息系系统统的的登登录录日日志志,成成功功和和不不成成功功的的登登录录都都包包括括在在日志信息

2、里日志信息里.通过分析不成功的原因作出判断通过分析不成功的原因作出判断.第第12章章 入侵检测技术入侵检测技术Network and Information Security1212.1 .1 入侵检测系统概述入侵检测系统概述 安安全全技技术术有有：身身份份认认证证与与识识别别、访访问问控控制制机机制制、加密技术、防火墙技术加密技术、防火墙技术等。等。这这些些技技术术都都把把注注意意力力集集中中在在系系统统的的自自身身加加固固和和防防护护上上，属属于于静静态态的的安安全全防防御御技技术术，对对于于网网络络环环境境下日新月异的攻击手段缺乏主动的反应。下日新月异的攻击手段缺乏主动的反应。自自适适应

3、应网网络络安安全全技技术术（动动态态安安全全技技术术）和和动动态态安安全模型应运而生全模型应运而生。Network and Information Security第第12章章 入侵检测技术入侵检测技术入侵检测作为动态安全技术的核心技术之一，是入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充防火墙的合理补充.入侵检测帮助系统对付网络攻击，扩展了入侵检测帮助系统对付网络攻击，扩展了系统管系统管理员的安全管理能力理员的安全管理能力（包括安全审计、监视、进（包括安全审计、监视、进攻识别和响应），提高了攻识别和响应），提高了信息安全基础结构的完信息安全基础结构的完整性整性，是安全防御体系的一

4、个重要组成部分。，是安全防御体系的一个重要组成部分。入侵检测（入侵检测（Intrusion Detection），顾名思义，即是），顾名思义，即是发觉入发觉入侵行为。侵行为。它在计算机网络或计算机系统中的它在计算机网络或计算机系统中的若干关键点收集信息若干关键点收集信息，通过对这些信息的通过对这些信息的分析分析来发现网络或系统中是否来发现网络或系统中是否有违反安有违反安全策略的行为全策略的行为和和被攻击的迹象。被攻击的迹象。进行入侵检测的进行入侵检测的软件与硬件软件与硬件的组合便是入侵检测系统的组合便是入侵检测系统（Intrusion Detection System，简称，简称IDS）。）。

5、入侵检测系统需要更多的入侵检测系统需要更多的智能智能，它必须能将得到的数据进，它必须能将得到的数据进行分析，并得出有用的结果。行分析，并得出有用的结果。早期的早期的IDS模型设计用来监控单一服务器，是模型设计用来监控单一服务器，是基于主机的入基于主机的入侵检测系统侵检测系统；近期的更多模型则集中用于；近期的更多模型则集中用于监控通过网络互监控通过网络互联的多个服务器。联的多个服务器。入侵检测系统的任务和作用入侵检测系统的任务和作用是：入侵检测系统的任务和作用是：(1)(1)监视、分析用户及系统活动；监视、分析用户及系统活动；(2)(2)对系统对系统弱点的审计弱点的审计；(3)(3)识识别别和和

6、反反应应已已知知进进攻攻的的活活动动模模式式并并向向相相关关人人士士报报警；警；(4)(4)异常行为模式异常行为模式的统计分析；的统计分析；(5)(5)评估重要系统和数据文件的完整性；评估重要系统和数据文件的完整性；(6)(6)操操作作系系统统的的审审计计跟跟踪踪管管理理，识识别别用用户户违违反反安安全全策策略的行为。略的行为。Network and Information Security第第12章章 入侵检测技术入侵检测技术入侵检测系统有两个指标。入侵检测系统有两个指标。一是漏报率一是漏报率，指攻击事件没有被，指攻击事件没有被IDSIDS检测到，与其检测到，与其相对的是相对的是检出率检出率

7、；二是误报率二是误报率，指把正常事件识别为攻击并报警。，指把正常事件识别为攻击并报警。误报率与检出率成正比例误报率与检出率成正比例关系。关系。Network and Information Security第第12章章 入侵检测技术入侵检测技术0 检出率 100%100%误报率1212.2.1 .2.1 入侵检测系统的入侵检测系统的CIDFCIDF模型模型 CIDF模型模型是由是由CIDF（Common Intrusion Detection Framework）工作组提出的。）工作组提出的。CIDF专门从事对入侵检测系统（专门从事对入侵检测系统（IDS）进行标准化进行标准化的研究的研究机构。

8、机构。它主要研究的是它主要研究的是入侵检测系统的通用结构、入侵检测系统入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言各组件间的通信接口问题、通用入侵描述语言（Common Intrusion Specification Language，CISL）以及不同入侵以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题检测系统间通信问题等关于入侵检测的规范化问题。Network and Information Security第第12章章 入侵检测技术入侵检测技术1212.2 .2 入侵检测系统结构入侵检测系统结构1212.2.1 .2.1 入侵检测系统的入侵检测系统

9、的CIDFCIDF模型模型 Network and Information Security第第12章章 入侵检测技术入侵检测技术1212.2 .2 入侵检测系统结构入侵检测系统结构事件产生器即检测器，它从整个系统环境中获得事件，并向系统的其他部分提供此事件；事件分析器分析得到的数据，并产生分析结果；事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。响应单元则是对分析结果作出反应的功能单元，它可以做出切断连接、改变文件属性等反应，甚至发动对攻击者的反击，也可以仅仅简单地报警；IETF的入侵检测系统模型 Network and Information

10、Security第第12章章 入侵检测技术入侵检测技术12.2.2 Denning的通用入侵检测系统模型Network and Information Security第第12章章 入侵检测技术入侵检测技术1212.3.1 .3.1 按数据来源的分类按数据来源的分类由由于于入入侵侵检检测测是是个个典典型型的的数数据据处处理理过过程程，因因而而数数据据采采集集是其首当其冲的第一步。是其首当其冲的第一步。同同时时，针针对对不不同同的的数数据据类类型型，所所采采用用的的分分析析机机理理也也是是不一不一样样的。的。根据入侵根据入侵检测检测系系统输统输入数据的来源来看，它可分入数据的来源来看，它可分为为

11、：基于主机的入侵基于主机的入侵检测检测系系统统，基于网基于网络络的入侵的入侵检测检测系系统统和和分布式入侵分布式入侵检测检测系系统统。Network and Information Security第第12章章 入侵检测技术入侵检测技术1212.3 .3 入侵入侵检测检测系系统类统类型型 基基于于主主机机的的入入侵侵检检测测系系统统(HIDS)HIDS)通通常常以以系系统统日日志志、应应用用程程序序日志等审计记录文件作为数据源日志等审计记录文件作为数据源。它它是是通通过过比比较较这这些些审审计计记记录录文文件件的的记记录录与与攻攻击击签签名名(一一种种特特定定的方式来表示已知的攻击模式的方式来

12、表示已知的攻击模式)，以发现它们是否匹配。，以发现它们是否匹配。如如果果匹匹配配，检检测测系系统统就就向向系系统统管管理理员员发发出出入入侵侵报报警警并并采采取取相相应的行动。应的行动。基基于于主主机机的的IDSIDS可可以以精精确确地地判判断断入入侵侵事事件件，并并可可对对入入侵侵事事件件作作出立即反应。出立即反应。它具有明显的优点：它具有明显的优点：(1)(1)能够确定攻击是否成功能够确定攻击是否成功(2)(2)非常适合于加密和交换环境非常适合于加密和交换环境(3)(3)近实时的检测和响应近实时的检测和响应(4)(4)不需要额外的硬件不需要额外的硬件(5)(5)可监视特定的系统行为可监视特

13、定的系统行为Network and Information Security第第12章章 入侵检测技术入侵检测技术1.1.基于主机的基于主机的(Host-Based)Host-Based)入侵检测系统入侵检测系统以以原始的网络数据包原始的网络数据包作为数据源。作为数据源。它它是是利利用用网网络络适适配配器器来来实实时时地地监监视视并并分分析析通通过过网网络络进进行行传传输输的的所所有有通通信信业业务务的的。其其攻攻击击识识别别模模块块在在进进行行攻攻击击签签名识别时常用的技术有：名识别时常用的技术有：模式、表达式或字节码的匹配；模式、表达式或字节码的匹配；频率或阈值的比较；频率或阈值的比较；事

14、件相关性处理；事件相关性处理；异常统计检测。异常统计检测。一一旦旦检检测测到到攻攻击击，IDSIDS的的响响应应模模块块通通过过通通知知、报报警警以以及及中中断连接断连接等方式来对攻击行为作出反应。等方式来对攻击行为作出反应。Network and Information Security第第12章章 入侵检测技术入侵检测技术2.2.基于网络的基于网络的(Network-Based)Network-Based)入侵检测系统入侵检测系统(1)攻击者转移证据更困难(2)实时检测和应答(3)能够检测到未成功的攻击企图(4)操作系统无关性(5)较低的成本当然，对于基于网络的IDS来讲，同样有着一定的不

15、足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境无能为力了。Network and Information Security第第12章章 入侵检测技术入侵检测技术较之于基于主机的IDS，它有着自身明显的优势：从从以以上上对对基基于于主主机机的的IDSIDS和和基基于于网网络络的的IDSIDS的的分分析析可可以以看看出出：这这两两者者各各自自都都有有着着自自身身独独到到的的优优势势，而而且且在在某某些些方方面是很好的互补。面是很好的互补。如如果果采采用用这这两两者者结结合合的的入入侵侵检检测测系系统统，那那将将是是汲汲取取了了各各自的长处

16、，又弥补了各自的不足的一种优化设计方案。自的长处，又弥补了各自的不足的一种优化设计方案。通通常常，这这样样的的系系统统一一般般为为分分布布式式结结构构，由由多多个个部部件件组组成成，它它能能同同时时分分析析来来自自主主机机系系统统的的审审计计数数据据及及来来自自网网络络的的数数据通信流量信息据通信流量信息。分布式的分布式的IDSIDS将是今后人将是今后人们们研究的重点，它是一种相研究的重点，它是一种相对对完完善的体系善的体系结结构，构，为为日日趋趋复复杂杂的网的网络环络环境下的安全策略的境下的安全策略的实现实现提供了最佳的解决方案。提供了最佳的解决方案。Network and Informat

17、ion Security第第12章章 入侵检测技术入侵检测技术3.3.分布式的入侵检测系统分布式的入侵检测系统从入侵检测的典型实现过程可以看出，从入侵检测的典型实现过程可以看出，数据分析是入数据分析是入侵检测系统的核心侵检测系统的核心 。检出率检出率是人们关注的焦点，是人们关注的焦点，不同的分析技术所体现的不同的分析技术所体现的分析机制也是不一样的分析机制也是不一样的，从而对数据分析得到的结果，从而对数据分析得到的结果当然也就大不相同，而且不同的分析技术对不同的数当然也就大不相同，而且不同的分析技术对不同的数据环境的适用性也不一样。据环境的适用性也不一样。根据入侵检测系统所采用的分析技术来看，

18、可以分为：根据入侵检测系统所采用的分析技术来看，可以分为：采用采用异常检测异常检测的入侵检测系统的入侵检测系统和和采用采用误用检测误用检测的入侵检测系统。的入侵检测系统。Network and Information Security第第12章章 入侵检测技术入侵检测技术1212.3.2 .3.2 按分析技术的分类按分析技术的分类1.1.异常检测异常检测(Anomaly Detection)Anomaly Detection)假定假定所有的入侵行为都是异常的所有的入侵行为都是异常的，即入侵行为是异常行为，即入侵行为是异常行为的子集。的子集。原理是：首先建立原理是：首先建立系统或用户的系统或用户

19、的“正常正常”行为特征轮廓行为特征轮廓，通过比较当前的系统或用户的行为是否通过比较当前的系统或用户的行为是否偏离正常的行为特偏离正常的行为特征轮廓来判断是否发生了入侵行为。征轮廓来判断是否发生了入侵行为。Network and Information Security第第12章章 入侵检测技术入侵检测技术从从异常检测的实现机理来看异常检测的实现机理来看，异常检测面临的关键问题有：，异常检测面临的关键问题有：(1)(1)特征量的选择特征量的选择(2)(2)阈值的选定阈值的选定(3)(3)比较频率的选取比较频率的选取 从异常检测的原理我们可以看出，该方法的技术难点在于：从异常检测的原理我们可以看出

20、，该方法的技术难点在于：“正常正常”行为特征轮廓的确定行为特征轮廓的确定；特征量的选取；特征轮廓特征量的选取；特征轮廓的更新。的更新。由于这几个因素的制约，由于这几个因素的制约，异常检测的误报率会很高，异常检测的误报率会很高，但对但对于未知的入侵行为的检测非常有效，同时它也是检测冒充于未知的入侵行为的检测非常有效，同时它也是检测冒充合法用户的入侵行为的有效方法。合法用户的入侵行为的有效方法。Network and Information Security第第12章章 入侵检测技术入侵检测技术其基本前提是：其基本前提是：假定所有可能的入侵行为都能被识别假定所有可能的入侵行为都能被识别和表示。和表

21、示。原理是：首先对已知的攻击方法进行原理是：首先对已知的攻击方法进行攻击签名攻击签名表示，表示，然后根据已经定义好的攻击签名，通过判断这些然后根据已经定义好的攻击签名，通过判断这些攻击攻击签名是否出现来判断入侵行为的发生与否。签名是否出现来判断入侵行为的发生与否。同样，误用检测也存在着影响检测性能的关键问题：同样，误用检测也存在着影响检测性能的关键问题：攻击签名的恰当表示攻击签名的恰当表示。Network and Information Security第第12章章 入侵检测技术入侵检测技术2.2.误用检测误用检测(Misuse Misuse Detection)Detection)(1)(1

22、)它它只只能能根根据据已已知知的的入入侵侵序序列列和和系系统统缺缺陷陷的的模模式式来来检检测测系系统统中中的的可可疑疑行行为为，而而面面对对新新的的入入侵侵攻攻击击行行为为以以及及那那些些利利用用系系统统中中未未知知或或潜潜在在缺缺陷陷的的越越权权行行为为则则无无能为力能为力。也就是说，不能检测未知的入侵行为也就是说，不能检测未知的入侵行为。(2)(2)与与系系统统的的相相关关性性很很强强，即即检检测测系系统统知知识识库库中中的的入入侵侵攻攻击击知知识识与与系系统统的的运运行行环环境境有有关关。对对于于不不同同的的操操作作系系统统，由由于于其其实实现现机机制制不不同同，对对其其攻攻击击的的方方

23、法法也也不不尽相同，因而尽相同，因而很难定义出统一的模式库很难定义出统一的模式库。(3)(3)对对于于系系统统内内部部攻攻击击者者的的越越权权行行为为，由由于于他他们们没没有利用系统的缺陷，因而很难检测出来。有利用系统的缺陷，因而很难检测出来。Network and Information Security第第12章章 入侵检测技术入侵检测技术误用检测的主要误用检测的主要局限性局限性表现在：表现在：入入侵侵检检测测的的两两种种最最常常用用技技术术在在实实现现机机理理、处处理理机机制制上上存存在在明明显显的的不不同同，而而且且各各自自都都有有着着自自身身无无法法逾逾越越的的障障碍碍，使使得得各各

24、自自都都有有着着某某种种不足。不足。但但是是采采用用这这两两种种技技术术混混合合的的方方案案，将将是是一一种种理想的理想的选择选择，这样这样可以做到可以做到优势优势互互补补。Network and Information Security第第12章章 入侵检测技术入侵检测技术3.3.采用两种技术混合的入侵检测采用两种技术混合的入侵检测除了上述对入侵检测系统的基本分类外，还有其它除了上述对入侵检测系统的基本分类外，还有其它不同形式的分类方法，如按照入侵检测系统的响应不同形式的分类方法，如按照入侵检测系统的响应方式来划分，可分为方式来划分，可分为主动的入侵检测系统主动的入侵检测系统和和被动的被动的

25、入侵检测系统。入侵检测系统。主动的入侵检测系统对检测到的入侵行为进行主动的入侵检测系统对检测到的入侵行为进行主动主动响应响应、处理处理，而被动的入侵检测系统则对检测到的，而被动的入侵检测系统则对检测到的入侵行为入侵行为仅进行报警仅进行报警。Network and Information Security第第12章章 入侵检测技术入侵检测技术1212.3.3 .3.3 其它的分类其它的分类IDS缺陷IDS系统通过查找任何异常的通信发挥作用。系统通过查找任何异常的通信发挥作用。当检测到异当检测到异常的通信时常的通信时，这种行动将被记录下来并且向管理员发出警，这种行动将被记录下来并且向管理员发出警报

26、。报。但存在误报但存在误报在过去的几年里，在过去的几年里，IDS系统已经有了很大的进步。目前，系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为系统包含一个名为攻击签名的数据库攻击签名的数据库。这个系统不断。这个系统不断地把入网的通信与数据库中的信息进行比较。地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，如果检测到攻击行动，IDS系统就发出这个攻击的报告。系统就发出这个攻击的报告。IPS与与IDS类似，但是，类似，但是，IPS在设计上解决了在设计上解决了IDS的一些缺的一些缺陷。陷。入侵防御系统“IPS（

27、Intrusion Prevention System,入侵防御系统）位于防火墙和网络设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。”12.4 入侵防御系统入侵防御

28、系统入侵检测系统只能入侵检测系统只能被动地检测攻击被动地检测攻击，而不能主动地把变化莫，而不能主动地把变化莫测的威胁阻止在网络之外。测的威胁阻止在网络之外。迫切地需要找到一种迫切地需要找到一种主动入侵防护解决方案主动入侵防护解决方案，以确保网络在，以确保网络在威胁四起的环境下正常运行，威胁四起的环境下正常运行，入侵防御系统入侵防御系统（Intrusion Prevention System，IPS）就应运而生了。就应运而生了。网络攻击正逐渐网络攻击正逐渐从简单的网络层攻击向应用层转变从简单的网络层攻击向应用层转变，单纯的单纯的防火墙功能防火墙功能已经不能满足当下应用安全的需求。已经不能满足当下

29、应用安全的需求。旁路的入侵检测方式旁路的入侵检测方式又不能满足又不能满足对攻击源实时屏蔽的需求对攻击源实时屏蔽的需求，与与防火墙联动的入侵检测一直没有标准的联动协议来支撑防火墙联动的入侵检测一直没有标准的联动协议来支撑。将将入侵检测与防火墙的功能联合起来，就形成了入侵防御入侵检测与防火墙的功能联合起来，就形成了入侵防御系统。系统。入侵防御系统是一部能够入侵防御系统是一部能够监视网络或网络设备的网络数据监视网络或网络设备的网络数据传输行为的计算机网络安全设备传输行为的计算机网络安全设备，能够，能够实时地实时地中断、调整中断、调整或隔离一些不正常或是具有伤害性的或隔离一些不正常或是具有伤害性的网络

30、数据传输行为。网络数据传输行为。入侵防御系统是一种入侵防御系统是一种智能化的入侵检测和防御产品智能化的入侵检测和防御产品，它不，它不但能检测入侵的发生，而且能通过一定的响应方式，但能检测入侵的发生，而且能通过一定的响应方式，实时实时地中止入侵行为的发生和发展，实时地保护信息系统不受地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击实质性的攻击。入侵防御系统有以下两个主要特点：1深层防御深层防御发生在发生在应用层应用层的的攻击行为攻击行为深层攻击行为深层攻击行为，其，其特点：特点：（1）新攻击种类出现频率高，新攻击手段出现速度快）新攻击种类出现频率高，新攻击手段出现速度快（2）攻击过

31、程隐蔽）攻击过程隐蔽与网络层与运输层的攻击行为相比，深层攻击行为更加与网络层与运输层的攻击行为相比，深层攻击行为更加隐蔽。隐蔽。例如例如 文件伪装文件伪装，可爱的熊猫图片，竟然是蠕虫病毒，再，可爱的熊猫图片，竟然是蠕虫病毒，再如跨站脚本攻击，仅仅是访问了一个网站的页面，就被如跨站脚本攻击，仅仅是访问了一个网站的页面，就被安上了间谍软件。安上了间谍软件。攻击行为正以越来越乱真的面貌出现攻击行为正以越来越乱真的面貌出现。越来越多的业务应用越来越多的业务应用，也增加了判断攻击行为的难度：，也增加了判断攻击行为的难度：到底是正常的应用还是违规的应用呢？到底是正常的应用还是违规的应用呢？2精确阻断精确阻

32、断入侵防御系统在网络中的布置通常是入侵防御系统在网络中的布置通常是串行接入模式串行接入模式，即串接在，即串接在网络当中，以边界防护设备的形式接入网络，网络当中，以边界防护设备的形式接入网络，任何对受保护任何对受保护网络的访问数据都将通过入侵防御系统。网络的访问数据都将通过入侵防御系统。这就引出了入侵防御系统所关心的另一重点这就引出了入侵防御系统所关心的另一重点精确阻断，即精确阻断，即精确判断各种深层的攻击行为精确判断各种深层的攻击行为，并实现，并实现实时阻断实时阻断。精确阻断精确阻断是是深层防御的先决条件深层防御的先决条件：没有实现对攻击行为的准确：没有实现对攻击行为的准确判断，错误阻断了正常

33、业务或者是没有阻断那些隐藏的、变判断，错误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为，都将给客户带来巨大的损失。形的攻击行为，都将给客户带来巨大的损失。而而深层防御深层防御也对精确阻断提出了更高的要求：也对精确阻断提出了更高的要求：不能对新的攻击不能对新的攻击行为实现精确的阻断，深层防御也就无从谈起。行为实现精确的阻断，深层防御也就无从谈起。入侵防御系统的未来发展方向应该有入侵防御系统的未来发展方向应该有以下两个方面：以下两个方面：（1）更加广泛的精确阻断范围：更加广泛的精确阻断范围：扩大可以精确阻断的攻击类扩大可以精确阻断的攻击类型，尤其是攻击的变种以及无法通过特征来定义的攻击行

34、为。型，尤其是攻击的变种以及无法通过特征来定义的攻击行为。（2）适应各种组网模式：适应各种组网模式：在确保精确阻断的情况下，适应电在确保精确阻断的情况下，适应电信级骨干网络的防御需求。信级骨干网络的防御需求。在提升性能方面存在的一个悖论：在提升性能方面存在的一个悖论：要提升性能，除了在软件要提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方处理方式上优化外，硬件架构的设计也是一个非常重要的方面。面。硬件硬件：虽然能提升模式匹配的效率，但在攻击识别的灵活性虽然能提升模式匹配的效率，但在攻击识别的灵活性方面过于死板，在新攻击特征的更新方面有所滞后。方面过于死板，在新攻击特征的

35、更新方面有所滞后。软件：软件：不存在变种攻击识别和特征更新方面的问题，但在性不存在变种攻击识别和特征更新方面的问题，但在性能上存在处理效率瓶颈能上存在处理效率瓶颈。与入侵检测系统类似，入侵防御系统对攻击的检测方法大与入侵检测系统类似，入侵防御系统对攻击的检测方法大体上也分为体上也分为异常检测与误用检测两类，异常检测与误用检测两类，这两类方法都有各这两类方法都有各自的优缺点。自的优缺点。未来的入侵防御系统将融合这两类方法，从而形成未来的入侵防御系统将融合这两类方法，从而形成“柔性柔性检测机制检测机制”，有机地融合以上两类方法的优点。，有机地融合以上两类方法的优点。这种融合不是两类检测方法的简单组合，而是细分到对这种融合不是两类检测方法的简单组合，而是细分到对攻攻击检测、防御的每一个过程中击检测、防御的每一个过程中，在抗攻击的处理、协议分，在抗攻击的处理、协议分析、攻击识别等过程中都包含了这两类检测方法的融合。析、攻击识别等过程中都包含了这两类检测方法的融合。Thanks！