第11讲 防火墙与入侵检测

第11讲防火墙与入侵检测,主讲：谢昕,2,内容提要,本章介绍两部分的内容：防火墙和入侵检测技术。介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。介绍入侵检测系统的基本概念以及入侵检测的常用方法如何编写入侵检测工具以及如何使用工具实现入侵检测。,防火墙的定义,传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分,I T 领域使用的防火墙概念,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,防火墙发展,防火墙分类,包过滤防火墙应用代理防火墙状态检测防火墙,防火墙在网络中的位置,防火墙放置于不同网络安全域之间,第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。所以称为包过滤防火墙。,包过滤防火墙的特点,包过滤防火墙,包过滤防火墙,缺点： 配置困难,因为包过滤防火墙的配置很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。 为特定服务开放的端口存在着危险，可能会被用于其他传输。 可能还有其他方法绕过防火墙进入网络，例如拨入连接。,优点： 防火墙对每条传入和传出网络的包实行低水平控制。 防火墙可以识别和丢弃带欺骗性源IP地址的包。,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,控制策略,数据包,过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理,分组过滤判断信息,包过滤防火墙工作原理图,应用代理防火墙,应用程序代理防火墙接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。,应用代理防火墙,优点： 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。 通过限制某些协议的传出请求，来减少网络中不必要的服务。 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。 缺点： 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 一些应用程序可能根本不支持代理连接。,应用代理防火墙,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过,控制策略,分组过滤判断信息,应用代理判断信息,应用代理防火墙原理图,状态/动态检测防火墙,状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。跟踪通过防火墙的网络连接和包，使用一组附加的标准，以确定是否允许和拒绝通信。监测引擎技术：采用一个或若干个在网关上执行网络安全策略的软件模块，抽取有关数据的方法对网络通信的各层实施监测，获得状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。可以实现 拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。,监测引擎,状态检测示意图,优点： 检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。 识别带有欺骗性源IP地址包的能力。 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通 过防火墙，绕过是困难的。 基于应用程序信息验证一个包的状态的能力， 例如基于一个已经建立的FTP连接，允许返回的FTP包通过。 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。,状态/动态检测防火墙,状态/动态检测防火墙的缺点,状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。 解决办法就是将特定信息通过硬件进行处理，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。,状态检测防火墙原理图,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过,控制策略,市场发展需要的新技术,软件防火墙,专用硬件防火墙,软件 VPN,专用 VPN 网关,加密处理芯片,软件内容扫描,安全内容处理网关,内容处理芯片,状态检测处理芯片,基于状态检测的硬件防火墙采用ASIC芯片硬件设计体系具有内容处理芯片和内容处理加速单元可以实现实时分析和数据包协调处理具有优化内容搜索、模式识别和数据分析功能同时具有病毒扫描、VPN、内容过滤和基于网络的入侵检测功能。,主流防火墙发展趋势,底层内容过滤原理图,物理接口 (10/100, GigE, etc.),OS 操作系统,系统总线,中心CPU(s)会话调度,ASIC内容处理 器,特征存储器,内容重组和扫描存储器,系统管理(CLI, Web, SNMP, AutoUpdate),加密引擎(DES, 3DES, MD5, SHA1, AES),包过滤引擎,特征扫描引擎,流量管理引擎,防火墙的性能指标,延时,并发连接数,平均无故障时间,吞吐量,防火墙在不丢包的情况下能够达到的最大包转发速率,数据包通过防火墙所用的时间,防火墙能够同时处理的点对点连接的最大数目,系统平均能够正常运行多长时间，才发生一次故障,防火墙产品功能特性组,业界标准：符合工业标准的防火墙工作模式：网络地址转换，透明模式，路由模式。用户认证：内建用户认证数据库，支持RADIUS认证数据库。服 务：支持标准服务（例如：FTP、HTTP），用户自定义服务， 还支持用户定义服务组。时 间 表：根据小时、日、周和月建立一次性或循环时间表，防火墙 根据不同的时间表定义安全策略。虚拟映射：外部地址映射到内部或DMZ网络上的地址IP/MAC绑定：阻止来自IP地址欺骗的攻击,操作模式: NAT/Route/Transparent,NAT 网络地址翻译，每个接口有一个IP地址，向外的包IP地址翻译成对外端口的IP地址Route 每个接口有IP地址，IP包从一个端口路由到另一端口，没有地址翻译Transparent 网络接口没有IP地址，类似于二层交换机,双向NAT,,外部的端口：8080,Internet,端口：80,端口：21,/24,外部的端口：2121,External,透明模式的支持,受保护网络,如果防火墙支持透明模式则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,基于时间的策略控制,管理员设置员工上网时间限制,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,下班时间可以自由访问公司的网络,Internet,IP/MAC绑定,Internal ,External , 00-20-ED-A8-81-60,IP/MAC Table: 00-20-Ef-A8-82-61, 00-20-ED-A8-81-64, (甲）,,（丙）,严格限制内部用户的网络地址增加网络安全，抵御网络攻击,没有在表中的配置项不能通过,HA功能,高可用性(HA) 提高可靠性和负载分配。负载分配：增强性能，在失败恢复的时候不会发生服务中断。,病毒检测,Exe/doc/zip,病毒库,病毒检测：扫描邮件附件（SMTP，POP3，IMAP）、 Web内容和插件（HTTP）的病毒特征码和宏病毒,蠕虫保护,蠕虫保护：扫描所有进出的电子邮件及附件（SMTP,POP3,IMAP） 检测网页里的插件和下载的内容（HTTP）,内容安全控制,内容安全控制 网络访问的内容控制，支持WEB内容的关键字过滤，屏蔽具有激越或敏感的网页内容，提供了内容级可控制手段。 阻塞有害的Web语言攻击，包括Java Applet 、Activex、 Cookie等,管理与控制Reject : /xxx.asp?返回结果：所访问网页包含管理员禁止内容，以被屏蔽！,入侵检测,Internet,DMZEmailHTTP,财务部,市场部,研发部,Router,抵抗DOS/DDOS攻击防止入侵者的扫描防止源路由攻击防止IP碎片攻击防止ICMP/IGMP攻击防止IP欺骗攻击,入侵检测内容,虚拟专用网（VPN）,虚拟专用网（VPN）在网络之间或网络与客户端之间进行安全通讯，支持IPSec、PPTP、L2TP等标准。硬件加速加密：支持DES，3DES加密算法密钥交换算法：支持自动IKE和手工密钥交换。VPN客户端通过：没有专门的配置需求，支持PPTP、L2TP,VPN 解决方案,远程访问,Internet,虚拟私有网,虚拟私有网,虚拟私有网,企业VPN解决方案(一),企业VPN解决方案(二),基于PPTP/L2TP的拨号VPN,在Internal 端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号（163/169）得到一个公网地址 ， 然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立建立VPN 的用户可以访问公司内部网络的所有资源， 就象在内部网中一样客户端不需要附加软件的安装，简单方便,Dial-Up NAT Pool/24 - 0,基于ipsec的拨号VPN,利用IPSEC协议的通道模式进行VPN的建立无需为客户分配IP Pool用户端要安装IPSEC Client软件建立VPN 的用户可以访问公司内部网络的所有资源，就象在内部网中一样,基于浏览器界面配置管理,使用HTTPS远程登录管理,基于字符和命令行界面配置管理,提供Console口或远程连接通过使用远程管理,防火墙不足之处,无法防护内部用户之间的攻击 无法防护基于操作系统漏洞的攻击 无法防护内部用户的其他行为 无法防护端口反弹木马的攻击 多数防火墙无法防护病毒的侵袭 无法防护非法通道出现,46,防火墙的定义,防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图9-1所示。,47,防火墙的定义,这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图9-2所示。,48,防火墙的功能,根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。,49,防火墙的必要性,随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此，网络安全已经成为迫在眉睫的重要问题，没有网络安全就没有社会信息化,50,防火墙的局限性,没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。,51,防火墙的分类,常见的放火墙有三种类型：1、分组过滤防火墙；2、应用代理防火墙；3、状态检测防火墙。分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。,52,分组过滤防火墙,数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃,53,一个可靠的分组过滤防火墙依赖于规则集，表9-1列出了几条典型的规则集。第一条规则：主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过。,54,用WinRoute创建包过滤规则,WinRoute目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。目前比较常用的是WinRoute4.1，安装文件如图9-4所示。,55,以管理员身份安装该软件，安装完毕后，启动“WinRoute Administration”，WinRoute的管理界面如图9-5所示。,56,默认情况下，该密码为空。点击按钮“OK”，进入系统管理。当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，点击工具栏图标，出现本地网络设置对话框，然后查看“Ethernet”的属性，将两个复选框全部选中，如图9-6所示。,57,利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。选择菜单项“Packet Filter”，如图9-7所示。,58,在包过滤对话框中可以看出目前主机还没有任何的包规则，如图9-8所示。,59,选中图9-8中网卡图标，单击按钮“添加”。出现过滤规则添加对话框，所有的过滤规则都在此处添加，如图9-9所示。,60,因为“Ping”指令用的协议是ICMP，所以这里要对ICMP协议设置过滤规则。在协议下拉列表中选择“ICMP”，如图9-10所示。,61,在“ICMP Type”栏目中，将复选框全部选中。在“Action”栏目中，选择单选框“Drop”。在“Log Packet”栏目中选中“Log into Window”，创建完毕后点击按钮“OK”，一条规则就创建完毕，如图9-11所示。,62,为了使设置的规则生效，点击按钮“应用”，如图9-12所示。,63,设置完毕，该主机就不再响应外界的“Ping”指令了，使用指令“Ping”来探测主机，将收不到回应，如图9-13所示。,64,虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏“View”下的菜单项“LogsSecurity Logs”，察看日志纪录如图9-14所示。,65,案例9-2 用WinRoute禁用FTP访问,FTP服务用TCP协议， FTP占用TCP的21端口，主机的IP地址是“09”，首先创建规则如表9-2所示。,66,利用WinRoute建立访问规则，如图9-15所示。,67,设置访问规则以后，再访问主机“09”的FTP服务，将遭到拒绝，如图9-16所示。,68,访问违反了访问规则，会在主机的安全日志中记录下来，如图9-17所示。,69,案例9-3 用WinRoute禁用HTTP访问,HTTP服务用TCP协议，占用TCP协议的80端口，主机的IP地址是“09”，首先创建规则如表9-3所示。,70,利用WinRoute建立访问规则，如图9-18所示。,71,打开本地的IE连接远程主机的HTTP服务，将遭到拒绝，如图9-19所示。,72,访问违反了访问规则，所以在主机的安全日志中记录下来，如图9-20所示。,73,应用代理防火墙,应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。,74,常见防火墙系统模型,常见防火墙系统一般按照四种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。,75,筛选路由器模型,筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图9-23所示。,76,单宿主堡垒主机模型,单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图9-24所示。,77,双宿主堡垒主机模型,双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图9-25所示。,78,屏蔽子网模型,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备，模型如图9-26所示。,79,创建防火墙的步骤,成功的创建一个防火墙系统一般需要六步：第一步：制定安全策略，第二步：搭建安全体系结构，第三步：制定规则次序，第四步：落实规则集，第五步：注意更换控制，第六步：做好审计工作。,80,入侵检测系统的概念,入侵检测系统1DS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。,81,入侵检测系统面临的挑战,一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。,82,误报,没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析,83,入侵检测系统的类型和性能比较,根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。,84,入侵检测的方法,目前入侵检测方法有三种分类依据：1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。,85,静态配置分析,静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。,86,异常性检测方法,异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。,87,基于行为的检测方法,基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。,88,案例9-4 检测与端口关联的应用程序,网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图9-27所示。,89,案例9-5 程序分析：检测与端口关联的应用程序,利用VC+6.0建立基于控制台的Win32应用程序，该程序需要一个外置的DLL文件“DBP2P.dll”，需要将该文件拷贝到工程目录下的Debug目录下。该案例包含两个程序：proj9_5.cpp和dbp2p.h。其中proj9_5.cpp文件是主程序，dbp2p.h是动态连接库文件“DBP2P.dll”文件的头文件。,90,入侵检测的步骤,入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：信息收集、数据分析和响应。,91,信息收集,入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。,92,数据分析,数据分析（Analysis Schemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类：,93,响应,数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应