網(wǎng)絡(luò)檢測論文

時間：2021-06-09 18:41:37 論文我要投稿

網(wǎng)絡(luò)檢測論文

　　論文既是探討問題進行學(xué)術(shù)研究的一種手段，又是描述學(xué)術(shù)研究成果進行學(xué)術(shù)交流的一種工具。關(guān)于網(wǎng)絡(luò)檢測的論文應(yīng)該怎么寫?

網(wǎng)絡(luò)檢測論文

　　網(wǎng)絡(luò)檢測論文篇一：

　　網(wǎng)絡(luò)異常流量檢測研究

　　摘要:異常流量檢測是目前IDS入侵檢測系統(tǒng))研究的一個重要分支,實時異常檢測的前提是能夠?qū)崟r,對大規(guī)模高速網(wǎng)絡(luò)流量進行異常檢測首先要面臨高速流量載荷問題,由于測度、分析和存儲等計算機資源的限制,無法實現(xiàn)全網(wǎng)絡(luò)現(xiàn)流量的實時檢測,因此,抽樣測度技術(shù)成為高速網(wǎng)絡(luò)流量測度的研究重點。

　　關(guān)鍵詞:網(wǎng)絡(luò) 異常流量檢測

　　一、異常流量監(jiān)測基礎(chǔ)知識

　　異常流量有許多可能的來源,包括新的應(yīng)用系統(tǒng)與業(yè)務(wù)上線、計算機病毒、黑客入侵、網(wǎng)絡(luò)蠕蟲、拒絕網(wǎng)絡(luò)服務(wù)、使用非法軟件、網(wǎng)絡(luò)設(shè)備故障、非法占用網(wǎng)絡(luò)帶寬等。網(wǎng)絡(luò)流量異常的檢測方法可以歸結(jié)為以下四類:統(tǒng)計異常檢測法、基于機器學(xué)習(xí)的異常檢測方法、基于數(shù)據(jù)挖掘的異常檢測法和基于神經(jīng)網(wǎng)絡(luò)的異常檢測法等。用于異常檢測的5種統(tǒng)計模型有:①操作模型。該模型假設(shè)異常可通過測量結(jié)果和指標(biāo)相比較得到,指標(biāo)可以根據(jù)經(jīng)驗或一段時間的統(tǒng)計平均得到。②方差。計算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測量值超出了置信區(qū)間的范圍時表明可能存在異常。③多元模型。操作模型的擴展,通過同時分析多個參數(shù)實現(xiàn)檢測。④馬爾可夫過程模型。將每種類型事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化。若對應(yīng)于發(fā)生事件的狀態(tài)轉(zhuǎn)移矩陣概率較小,則該事件可能是異常事件。⑤時間序列模型。將測度按時間排序,如一新事件在該時間發(fā)生的概率較低,則該事件可能是異常事件。

　　二、系統(tǒng)介紹分析與設(shè)計

　　本系統(tǒng)運行在子網(wǎng)連接主干網(wǎng)的出口處,以旁路的方式接入邊界的交換設(shè)備中。從交換設(shè)備中流過的數(shù)據(jù)包,經(jīng)由軟件捕獲,處理,分析和判斷,可以對以異常流量方式出現(xiàn)的攻擊行為告警。本系統(tǒng)需要檢測的基本的攻擊行為如下:(1)ICMP攻擊(2)TCP攻擊,包括但不限于SYN Flood、RST Flood(3)IP NULL攻擊(4)IP Fragmentation攻擊(5)IP Private Address Space攻擊(6)UDP Flood攻擊(7)掃描攻擊不同于以特征、規(guī)則和策略為基礎(chǔ)的入侵檢測系統(tǒng)(Intrusion Detection Systems),本研究著眼于建立正常情況下網(wǎng)絡(luò)流量的模型,通過該模型,流量異常檢測系統(tǒng)可以實時地發(fā)現(xiàn)所觀測到的流量與正常流量模型之間的偏差。當(dāng)偏差達到一定程度引發(fā)流量分配的變化時,產(chǎn)生系統(tǒng)告警(ALERT),并由網(wǎng)絡(luò)中的其他設(shè)備來完成對攻擊行為的阻斷。系統(tǒng)的核心技術(shù)包括網(wǎng)絡(luò)正常流量模型的獲取、及對所觀察流量的匯聚和分析。由于當(dāng)前網(wǎng)絡(luò)以IPv4為主體,網(wǎng)絡(luò)通訊中的智能分布在主機上,而不是集中于網(wǎng)絡(luò)交換設(shè)備,而在TCP/IP協(xié)議中和主機操作系統(tǒng)中存在大量的漏洞,況且網(wǎng)絡(luò)的使用者的誤用(misuse)也時有發(fā)生,這就使得網(wǎng)絡(luò)正常流量模型的建立存在很大的難度。為達到保障子網(wǎng)的正常運行的最終目的,在本系統(tǒng)中,采用下列方式來建立多層次的網(wǎng)絡(luò)流量模型:

　　(1)會話正常行為模型。根據(jù)IP報文的五元組(源地址、源端口、目的地址、目的端口和協(xié)議),TCP和UDP報文可以構(gòu)成流(flow)或偽流(pseudo-flow)。兩個五元組中源和目的相反的流可以構(gòu)成一個會話。由于ICMP的特殊性,對于ICMP的報文,分別進行處理:ICMP(query)消息構(gòu)成獨立會話,而ICMP錯誤(error)消息則根據(jù)報文中包含的IP報頭映射到由IP報頭所制定的會話中去。每一類協(xié)議(TCP/UDP/ICMP)的正常行為由一個有限狀態(tài)及刻畫。在這個狀態(tài)機中,如果一個事件的到來導(dǎo)致了錯誤狀態(tài)的出現(xiàn),那么和狀態(tài)機關(guān)聯(lián)的計數(shù)器對錯誤累加。協(xié)議狀態(tài)機是一種相對嚴格的行為模型,累加的錯誤計數(shù)本身并不一定代表發(fā)現(xiàn)了攻擊行為。

　　(2)流量規(guī)則特征模型。在正常的網(wǎng)絡(luò)流量中,存在著穩(wěn)定的規(guī)則特征。比如一個IP收到和發(fā)出的含SYN標(biāo)志位和含F(xiàn)IN標(biāo)志位的報文的比值、一個IP的出度和入度的比值以及一個IP的平均會話錯誤數(shù)等。這些網(wǎng)絡(luò)不變量是檢驗在一定時間區(qū)間內(nèi),一個IP是否行為異常的標(biāo)準(zhǔn)之一。這個模型要求對會話表中的會話摘要(一個含有會話特征的向量)進行匯聚,在會話正常行為模型基礎(chǔ)上增加攻擊行為判斷的準(zhǔn)確程度。

　　(3)網(wǎng)絡(luò)流量關(guān)聯(lián)模型。把一些流量特征(如字節(jié)數(shù)、報文數(shù)、會話錯誤數(shù)等)在一定時間區(qū)間內(nèi)的累加值記錄下來,可以看作時間序列。通過對序列的分析,可以找到長期的均值、方差、周期、趨勢等特征。當(dāng)攻擊行為發(fā)生時,觀察到的一些流量特征會偏離其長期特征。這種特征偏離的相關(guān)性就提供了判斷是否攻擊已發(fā)生的一個依據(jù)。

　　三、大規(guī)模流量異常檢測框架

　　異常檢測通常需要描述正常網(wǎng)絡(luò)行為,網(wǎng)絡(luò)行為模型越準(zhǔn)確,異常檢測算法效果越好。在大規(guī)模流量異常檢測中通常通過網(wǎng)絡(luò)探針了解單個實體或結(jié)點的行為來推測整個網(wǎng)絡(luò)行為,基于網(wǎng)絡(luò)斷層成像(network tomography)思想通過使用探針測量推斷網(wǎng)絡(luò)特征,這是檢測非協(xié)作(noncooperative)網(wǎng)絡(luò)異常和非直接管理控制網(wǎng)絡(luò)異常的有效手段。對于單個管理域,基于實體研究可以向網(wǎng)絡(luò)管理者提供有用信息,例如網(wǎng)絡(luò)拓撲。在單個結(jié)點使用一些基本的網(wǎng)絡(luò)設(shè)計和流量描述的方法,可以檢測網(wǎng)絡(luò)異常和性能瓶頸。然后觸發(fā)網(wǎng)絡(luò)管理系統(tǒng)的告警和恢復(fù)機制。為了對大規(guī)模網(wǎng)絡(luò)的性能和行為有一個基本的了解,需要收集和處理大量網(wǎng)絡(luò)信息。有時,全局網(wǎng)絡(luò)性能信息不能直接獲得,只有綜合所獲得的本地網(wǎng)絡(luò)信息才能對全局網(wǎng)絡(luò)行為有個大致的了解。因為不存在準(zhǔn)確的正常網(wǎng)絡(luò)操作的統(tǒng)計模型,使得難以描述異常網(wǎng)絡(luò)模型的統(tǒng)計行為,也沒有單個變量或參數(shù)能包括正常網(wǎng)絡(luò)功能的各個方面。需要從多個統(tǒng)計特征完全不同的矩陣中合成信息的問題。為解決該問題,有人提出利用操作矩陣關(guān)聯(lián)單個參數(shù)信息。但導(dǎo)致算法的計算復(fù)雜度較高,為了滿足異常檢測的實時性要求,本文關(guān)聯(lián)本地和全局數(shù)據(jù)檢測網(wǎng)絡(luò)異常。盡管本章利用行為模型對IP Forwarding異常進行檢測,但該方法并不僅限于檢測本地異常。通過關(guān)聯(lián)多條網(wǎng)絡(luò)鏈路的時間序列數(shù)據(jù),也可以檢測類似于空間的網(wǎng)絡(luò)異常。因此,該方法可以擴展到其他類型的大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)和其他大規(guī)模網(wǎng)絡(luò)異常。

　　參考文獻:

　　[1]司偉紅.淺析網(wǎng)絡(luò)攻擊常用方法.科技廣場,2006,7:36-38.

　　[2]卿斯?jié)h等.入侵檢測技術(shù)研究綜述.通信學(xué)報,2004,25(7):20-25.

　　[3]戴英俠、連一峰、王航.系統(tǒng)安全與入侵檢測.北京:清華大學(xué)出版社,2002:24-26.

　　網(wǎng)絡(luò)檢測論文篇二：

　　網(wǎng)絡(luò)入侵檢測系統(tǒng)初探

　　【摘要】本文針對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行了相關(guān)的研究。首先對入侵檢測的概念做了簡要的敘述，其次著重分析了當(dāng)前的入侵檢測技術(shù)，對目前網(wǎng)絡(luò)安全中存在的問題和入侵檢測系統(tǒng)的發(fā)展趨勢做了簡明的論述。

　　【關(guān)鍵詞】網(wǎng)絡(luò)安全;入侵檢測

　　0.引言

　　隨著計算機技術(shù)、通信技術(shù)和信息技術(shù)的飛速發(fā)展，各種各樣的網(wǎng)絡(luò)應(yīng)用已經(jīng)越來越廣泛地滲透到人類地生活、工作的各個領(lǐng)域。特別是通過Internet，人們可以極為方便地產(chǎn)生、發(fā)送、獲取和利用信息。Internet在給人們帶來巨大便利的同時，也產(chǎn)生了許多意想不到的問題，網(wǎng)絡(luò)安全就是其中一個突出的問題。造成Internet不安全的原因，一方面是Internet本身設(shè)計的不安全以及操作系統(tǒng)、應(yīng)用軟件等存在著安全漏洞;另一方面是由于網(wǎng)絡(luò)安全的發(fā)展落后于網(wǎng)絡(luò)攻擊的發(fā)展。目前網(wǎng)絡(luò)中應(yīng)用最廣、功能最強大的安全工具莫過于防火墻，但是防火墻的安全功能是有限的，它很難防止偽造IP攻擊。因此，發(fā)展一種新的網(wǎng)絡(luò)安全防御手段來加強網(wǎng)絡(luò)安全性便成了亟待解決的問題。入侵檢測是幫助系統(tǒng)對付網(wǎng)絡(luò)內(nèi)部攻擊和外部攻擊的一種解決方案。入侵檢測技術(shù)是當(dāng)今一種非常重要的動態(tài)安全技術(shù)，它與靜態(tài)防火墻技術(shù)等共同使用，可以大大提高系統(tǒng)的安全防護水平。

　　1.入侵檢測的概念及功能

　　入侵就是指任何試圖危及信息資源的機密性、完整性和可用性的行為。而入侵檢測就是對入侵行為的發(fā)覺，它通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息，并對這些信息進行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。通常入侵檢測系統(tǒng)(Intrusion Detection System， IDS)是由軟件和硬件組成的。入侵檢測是防火墻的合理補充，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。另外，它也擴展了系統(tǒng)管理員的安全管理能力，有助于提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，是對原有安全系統(tǒng)的一個重要補充。入侵檢測系統(tǒng)收集計算機系統(tǒng)和網(wǎng)絡(luò)的信息，并對這些信息加以分析，對被保護的系統(tǒng)進行安全審計、監(jiān)控、攻擊識別并做出實時的反應(yīng)。

　　入侵檢測的主要功能包括：(1)監(jiān)視、分析用戶及系統(tǒng)活動;(2)系統(tǒng)構(gòu)造和弱點的審計;(3)映已知進攻的活動模式并進行相關(guān)人士報警;(4)模式的統(tǒng)計分析;(5)要系統(tǒng)和數(shù)據(jù)文件的完整性;(6)的審計跟蹤管理，并識別用戶違反安全策略的行為。

　　2.入侵檢測的信息來源

　　對于入侵檢測系統(tǒng)而言，輸入數(shù)據(jù)的選擇是首先需要解決的問題，目前的入侵檢測系統(tǒng)的數(shù)據(jù)來源主要包括：(1)操作系統(tǒng)的審計記錄;(2)系統(tǒng)日志;(3)應(yīng)用程序日志;(4)基于網(wǎng)絡(luò)數(shù)據(jù)的信息源;(4)來自其他安全產(chǎn)品的數(shù)據(jù)源。

　　3.入侵檢測系統(tǒng)的基本模型

　　在入侵檢測系統(tǒng)的發(fā)展過程中，大致經(jīng)歷了集中式、層次式和集成式三個階段，代表這三個階段的入侵檢測系統(tǒng)的基本模型分別是通用入侵檢測模型(Denning模型)、層次化入侵檢測模型(IDM)和管理式入侵檢測模型(SNMP-IDSM)。

　　3.1 通用入侵檢測模型

　　Denning于1987年最早提出一個通用的`入侵檢測模型(如圖2.1所示)。

　　該模型由6個部分組成：(1) 主體(Subject);(2) 對象(Object);(3) 審計記錄(Audit Records);(4) 活動簡檔(Activity Profile);(5) 異常記錄(Anomaly Record);(6)活動規(guī)則。

　　3.2 IDM模型

　　Steven Snapp在設(shè)計和開發(fā)分布式入侵檢測系統(tǒng)DIDS時，提出一個層次化的入侵檢測模型，簡稱IDM。該模型將入侵檢測分為六個層次，分別為：數(shù)據(jù)(data)、事件(event)、主體(subject)、上下文(context)、威脅(threat)、安全狀態(tài)(security state)。

　　IDM模型給出了在推斷網(wǎng)絡(luò)中的計算機受攻擊時數(shù)據(jù)的抽象過程。也就是說，它給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。通過把收集到的分散數(shù)據(jù)進行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺虛擬的機器環(huán)境，這臺機器由所有相連的主機和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看成一臺虛擬計算機的觀點簡化了跨越單機入侵行為的識別。IDM也應(yīng)用于只有單臺計算機的小型網(wǎng)絡(luò)。

　　3.3 SNMP-IDSM模型

　　隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊手段也越來越復(fù)雜，攻擊者大都是通過合作的方式來攻擊某個目標(biāo)系統(tǒng)，而單獨的IDS難以發(fā)現(xiàn)這種類型的入侵行為。然而，如果IDS系統(tǒng)也能夠像攻擊者那樣合作，就有可能檢測到入侵者。這樣就要有一種公共的語言和統(tǒng)一的數(shù)據(jù)表達格式，能夠讓IDS系統(tǒng)之間順利交換信息，從而實現(xiàn)分布式協(xié)同檢測。北卡羅萊那州立大學(xué)的Felix Wu等人從網(wǎng)絡(luò)管理的角度考慮IDS模型，突出了基于SNMP的IDS模型，簡稱SNMP-IDSM.。

　　SNMP-IDSM以SNMP為公共語言來實現(xiàn)IDS系統(tǒng)之間的消息交換和協(xié)同檢測，它定義了IDS-MIB，使得原始事件和抽象事件之間關(guān)系明確，并且易于擴展。SNMP-IDSM定義了用來描述入侵事件的管理信息庫MIB，并將入侵事件分析為原始事件(Raw Event)和抽象事件(Abstract Event)兩層結(jié)構(gòu)。原始事件指的是引起安全狀態(tài)遷移的事件或者是表示單個變量遷移的事件，而抽象事件是指分析原始事件所產(chǎn)生的事件。原始事件和抽象事件的信息都用四元組來描述。

　　4.入侵檢測的分類和分析方法

　　4.1入侵檢測的分類

　　通過對現(xiàn)有的入侵檢測系統(tǒng)和技術(shù)研究，可對入侵檢測系統(tǒng)進行如下分類：

　　根據(jù)目標(biāo)系統(tǒng)的類型可以將入侵檢測系統(tǒng)分為兩類：

　　(1) 基于主機(Host-Based)的IDS。通常，基于主機的入侵檢測系統(tǒng)可以監(jiān)測系統(tǒng)事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，入侵檢測系統(tǒng)就將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。　　(2) 基于網(wǎng)絡(luò)(Network-Based)的IDS。該系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)測并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。

　　根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源，數(shù)據(jù)源可以是主機系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報警日志以及其他入侵檢測系統(tǒng)的報警信息等，可以將入侵檢測系統(tǒng)分為基于不同分析數(shù)據(jù)源的入侵檢測系統(tǒng)。

　　根據(jù)入侵檢測方法可以將入侵檢測系統(tǒng)分為兩類：

　　(1) 異常IDS。該類系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵、異常活動的依據(jù)。

　　(2) 誤用IDS。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息(知識、模式)來檢測系統(tǒng)的入侵和攻擊。

　　根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式，可以將入侵檢測系統(tǒng)分為兩類：

　　(1) 主動的入侵檢測系統(tǒng)。它在檢測出入侵后，可自動的對目標(biāo)系統(tǒng)中的漏洞采取修補、強制可疑用戶(可能的入侵者)退出系統(tǒng)以及關(guān)閉相關(guān)服務(wù)等對策和響應(yīng)措施。

　　(2) 被動的入侵檢測系統(tǒng)。它在檢測出對系統(tǒng)的入侵攻擊后只是產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作則有系統(tǒng)管理員完成。

　　根據(jù)系統(tǒng)各個模塊運行的分步方式，可以將入侵檢測系統(tǒng)分為兩類：

　　(1) 集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機上運行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。

　　(2) 分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計算機、設(shè)備上，一般而言，分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境比較復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織。

　　當(dāng)前眾多的入侵檢測系統(tǒng)和技術(shù)，基本上是根據(jù)檢測方法、目標(biāo)系統(tǒng)、信息數(shù)據(jù)源來設(shè)計的。

　　4.2 入侵檢測的分析方法

　　從入侵檢測的角度來說，分析是指對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理及特征提取，以鑒別出感興趣的攻擊。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責(zé)任人。入侵檢測的方法主要由誤用檢測和異常檢測組成。

　　誤用檢測對于系統(tǒng)事件提出的問題是：這個活動是惡意的嗎?誤用檢測涉及到對入侵指示器已知的具體行為的解碼信息，然后為這些指示器過濾事件數(shù)據(jù)。要想執(zhí)行誤用檢測，需要有一個對誤用行為構(gòu)成的良好理解，有一個可靠的用戶活動記錄，有一個可靠的分析活動事件的方法。

　　異常檢測需要建立正常用戶行為特征輪廓，然后將實際用戶行為和這些特征輪廓相比較，并標(biāo)示正常的偏離。異常檢測的基礎(chǔ)是異常行為模式系統(tǒng)誤用。輪廓定義成度量集合。度量衡量用戶特定方面的行為。每一個度量與一個閾值相聯(lián)系。異常檢測依靠一個假定：用戶表現(xiàn)為可預(yù)測的、一致的系統(tǒng)使用模式。

　　有些入侵檢測方法既不是誤用檢測也不屬異常檢測的范圍。這些方案可應(yīng)用于上述兩類檢測。它們可以驅(qū)動或精簡這兩種檢測形式的先行活動，或以不同于傳統(tǒng)的影響檢測策略方式。這類方案包括免疫系統(tǒng)方法、遺傳算法、基于代理檢測以及數(shù)據(jù)挖掘技術(shù)。

　　5.入侵檢測系統(tǒng)的局限性與發(fā)展趨勢

　　5.1入侵檢測系統(tǒng)的局限性

　　現(xiàn)有的IDS系統(tǒng)多采用單一體系結(jié)構(gòu)，所有的工作包括數(shù)據(jù)的采集、分析都由單一主機上的單一程序來完成。而一些分布式的IDS只是在數(shù)據(jù)采集上實現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)還是由單一個程序完成。這樣的結(jié)構(gòu)造成了如下的缺點：

　　(1) 可擴展性較差。單一主機檢測限制了監(jiān)測的主機數(shù)和網(wǎng)絡(luò)規(guī)模，入侵檢測的實時性要求高，數(shù)據(jù)過多將會導(dǎo)致其過載，從而出現(xiàn)丟失網(wǎng)絡(luò)數(shù)據(jù)包的問題。

　　(2) 單點失效。當(dāng)IDS系統(tǒng)自身受到攻擊或某些原因不能正常工作時，保護功能會喪失。

　　(3) 系統(tǒng)缺乏靈活性和可配置性。如果系統(tǒng)需要加入新的模塊和功能時，必須修改和重新安裝整個系統(tǒng)。

　　5.2 入侵檢測的發(fā)展趨勢

　　入侵檢測的發(fā)展趨勢主要主要表現(xiàn)在：(1) 大規(guī)模網(wǎng)絡(luò)的問題; (2) 網(wǎng)絡(luò)結(jié)構(gòu)的變化; (3) 網(wǎng)絡(luò)復(fù)雜化的思考;(4) 高速網(wǎng)絡(luò)的挑戰(zhàn);(5) 無線網(wǎng)絡(luò)的進步;(6) 分布式計算;(7) 入侵復(fù)雜化;(8) 多種分析方法并存的局面。

　　對于入網(wǎng)絡(luò)侵檢測系統(tǒng)，分析方法是系統(tǒng)的核心。多種分析方法綜合運用才是可行之道，將各種分析方法有機結(jié)合起來，構(gòu)建出高性能的入侵檢測系統(tǒng)是一個值得研究的問題，我們需要不斷的研究去完善它。

　　參考文獻：

　　[1]張宏. 網(wǎng)絡(luò)安全基礎(chǔ)(第一版)[M].北京：機械工業(yè)出版社， 2004.

　　[2]石志國，薛為民，江俐.計算機網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2004年.

　　[3]唐正軍. 網(wǎng)路入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)(第一版) [M]北京：電子工業(yè)出版社，2002.

　　[4]郭魏，吳承榮. [J]入侵檢測方法概述. 《計算機工程》，1999年第11期.

　　[5]泰和信科.內(nèi)網(wǎng)安全管理[M].重慶：泰和信科，2003年.

　　[6]薛靜鋒，寧宇朋等.入侵檢測技術(shù)(第一版)[M].北京：機械工業(yè)出版社，2004.

　　[7]葉中行. 信息論基礎(chǔ)(第一版) [M].北京：高等教育出版社，2003.

　　[8]杜虹.談?wù)劇皟?nèi)網(wǎng)”安全. [J].《信息安全與通信保密》，2005年第2期.

　　[9]崔薇.入侵檢測系統(tǒng)的研究現(xiàn)狀及發(fā)展趨勢 [J].《西安郵電學(xué)院學(xué)報》，2006年第1期.

　　[10]金衛(wèi). 入侵檢測技術(shù)的研究[J].《山東師范大學(xué)學(xué)報》，2005年第4期.