入侵检测技术方案

曾湘黔主编：网络安全技术

清华大学出版社出版Internet自身的开放性的特点，使得网络安全防护的方式发生了很大变化，传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，它们的实施.是由通信双方共同完成：因为Internet网络结构错综复杂，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，主要是解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。于是在此情况下，出现了防火墙和入侵检测技术。第8章入侵检测技术曾湘黔主编：网络安全技术8.1入侵检测概述

8.1.1入侵检测原理

8.1.2入侵检测系统结构

8.1.3入侵检测系统分类 8.2入侵检测技术

8.2.1入侵检测分析模型

8.2.2误用检测

8.2.3异常检测

8.2.4其他检测技术 8.3入侵检测系统的标准

8.3.1IETF/IDWG 8.3.2CIDF 8.4入侵检测系统部署

8.4.1入侵检测系统部署的原则

8.4.2入侵检测系统部署实例

8.4.3入侵检测特征库的建立与应用 第8章入侵检测技术8.1入侵检测概述 第8章入侵检测技术曾湘黔主编：网络安全技术

清华大学出版社出版8.5典型入侵检测产品简介

8.5.1入侵检测工具Snort 8.5.2Cisco公司的NetRanger 8.5.3NetworkAssociates公司的CyberCop 8.5.4InternetSecuritySystem公司的RealSecure 8.5.5中科网威的“天眼”入侵检测系统 8.6案例

8.6.1Snort的安装与使用 第8章入侵检测技术曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。入侵检测作为安全技术其作用在于：识别入侵者识别入侵行为检测和监视己成功的安全突破为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。8.1入侵检测概述曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。8.1.1入侵检测原理

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF模型模型结构如图8-1所示。

图8-1CIDF模型结构图8.1.2入侵检测系统结构

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。如图8-2所示。图8-2系统构成8.1.2入侵检测系统结构曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1.IDS在结构上可划分为数据收集和数据分析两部分。（1）数据收集机制分布式与集中式数据收集机制。直接监控和间接监控。基于主机的数据收集和基于网络的数据收集。外部探测器和内部探测器（2）数据分析机制根据IDS如何处理数据，可以将IDS分为分布式IDS和集中式IDS。分布式IDS：在一些与受监视组件相应的位置对数据进行分析的IDS。集中式IDS：在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。（3）缩短数据收集与数据分析的距离在实际操作过程中，数据收集和数据分析通常被划分成两个步骤，在不同的时间甚至是不同的地点进行。但这一分离存在着缺点，在实际使用过程中，数据收集与数据分析功能之间应尽量缩短距离。8.1.2入侵检测系统结构曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

根据入侵检测采用的技术，可以分为异常检测和误用检测。根据入侵检测监测的对象和所处的位置，分为基于网络和基于主机两种。

1.基于网络的入侵检测系统基于网络的入侵检测系统以网络数据包作为分析数据源，在被监视网络的网络数据流中寻找攻击特征和异常特征。它通常利用一个土作在混杂模式卜的网卡来实时监视并分析通过网络的数据流，使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，其响应模块就做出适当的响应，如报警、切断网络连接等。

NIDS优点是能检测许多基于主机的系统检测小到的攻击，而更可靠：具有更好的实时特性，对受保护的主机和网络系统的性能影响很小或几乎没有影响并且无需对原来的系统和结构进行改动；网络监听引擎是透明的，可以降低检测系统本身遭受攻击的可能性。其局限性是：无法检测物理的侵入被监视主机系统的活动、内部人员在授权范围内从事的非法活动和在网络数据包中无异常而只能通过主机状态的异常变化才能反映出来的攻击；在协议解析和模式匹配等方而的计算成本很高，不能检查加密的数据包，严重依赖于高层协议(如应用层)的解析能力，不知道接收节点对数据包的处理过程以及由此引起的状态变化。8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版2．基于主机的入侵检测系统基于主机的入侵检测是将检测系统安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动可疑(特征或行为违反统计规律)，入侵检测系统就会采取相应措施。其特点主要是对分析“可能的攻击行为”非常有用，不仅能够指出入侵者试图执行哪种“危险的命令”，还能分辨出入侵者运行了什么命令，进行了哪些操作、执行了哪些系统调用等。主机入侵检测系统与网络入侵检测系统相比，能够提供更为详尽的用户操作调用信息。基于主机的入侵检测系统有集中式和分布式两种体系结构，这两种结构都是基于代理的检测结构。代理是在目标系统上可执行的小程序，它们与命令控制平台进行通信。如果正确地操作，这些代理不会明显地降低口标系统的性能，但它们会带来部署和支持方面的问题。8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版（1）集中式体系结构该结构的特点是代理负责收集来自不同目标主机的日志，将日志进行预处理并转化为标准格式，山命令控制台对这些日志集中处理。该系统有如下优点:能够将来自不同口标主机的审计信息进行集中处理，这种方式对目标机的性能影响很小或没有影响，这可以允许进行更复杂的检测。可以创建日志，作为原始数据的数据档案，这些数据可用于起诉中。可用于多主机标志检测。可将存储在数据库中的告警信息和原始数据结合起来分析，这能帮助许多入侵检测，还可以进行数据辨析以查看长期趋势。同时集中式系统也存在有以下的缺点：除非口标机的数量较少或者检测引擎很快，否则会对实时检测或实时响应带来影响。将大量原始数据集中起来会影响网络通信量8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版（2）分布式体系结构该结构的特点是将不同的代理安装在不同的目标机上，实时地分析数据，但记录本身在被目标机上的检测引擎分析提出有用信息之后就被丢弃了。该结构的优点是实时告警、实时响应。缺点是降低了口标机的性能，没有原始数据档案，降低了数据辨析能力。8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

人们多年来对入侵检测的研究，使得该研究领域已具有一定的规模和相应的理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析，以检测其中是否包含入侵或异常行为的迹象。分析是入侵检测的核心功能，它既能简单到像一个已熟悉日志情况的管理员去建立决策表，也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测过程分析过程分为三部分：信息收集、信息分析和结果处理。信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。8.2入侵检测技术

8.2.1入侵检测分析模型曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

误用检测也被称为基于知识的检测，它指运用己知的攻击方法，根据己定义好的入侵模式，通过判断这些入侵模式是否出现来检测。基于模式匹配的误用入侵检测模式匹配就是将捕获到的数据与己知网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。基于专家系统的误用入侵检测基于专家系统的误用入侵检测方法是通过将安全专家的知识表示成规则形成专家知识库，然后运用推理算法检测入侵。用专家系统对入侵进行检测，经常是针对有特征的入侵行为。所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。在具体实现中，专家系统主要面临以下问题:

难以科学地从各种入侵手段中抽象出全面地规则化知识；所需处理地数据量过大，而且在大型系统上，如何实时连续地审计数据也是一个问题。8.2.2误用检测

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关，通用型较强。异常检测方法主要有以下两种。

1.统计分析概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与己存储定型的以前特征，从而判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。

2．神经网络神经网络方法是利用一个包含很多计算单兀的网络来完成复杂的映射函数，这些单元通过使用加权的连接相互作用。一个神经网络只是根据单元和它们间的权值连接编码成网络结构，实际的学习过程是通过改变权值和加入或移去连接进行的。神经网络处理分为两个阶段：首先，通过正常系统行为对该网络进行训练，调整其结构和权值：然后将所观测到的韦件流输入网络，由此判别这些事件流是正常(与训练数据匹配的)还是异常。同时，系统也能利用这些观测到的数据进行训练，从而使网络可以学习系统行为的一些变化。8.2.3异常检测曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1．基于规则的入侵检测基于规则的入侵检测是通过观察系统里发生的事件并将该事件与系统的规则集进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。基于规则的入侵检测分为：基于规则的异常检测和基于规则的渗透检测。

2．分布式入侵检测分布式入侵检测系统设计应包含：主机代理模块、局域网监测代理模块和中央管理器模块三个模块。8.2.4其他检测技术曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

为了提高IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署（DARPA）和互联网工程任务组（IETF）的入侵检测工作组（IDWG）发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面规范IDS的标准。1．IDMEF

IDMEF描述了表示入侵检测系统输出信息的数据模型，并解释了使用此模型的基本原理。该数据模型用XML实现，并设计了一个XML文档类型定义。2．IDXP

IDXP（入侵检测交换协议）是一个用于入侵检测实体之间交换数据的应用层协议，能够实现IDMEF消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征。

8.3入侵检测系统的标准

8.3.1IETF/IDWG

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略。CIDF的主要作用在于集成各种IDS使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础。

CIDF的规格文档由四部分组成，分别为：体系结构（TheCommonIntrusionDetectionFrameworkArchitecture）规范语言（ACommonIntrusionSpecificationLanguage）内部通讯（CommunicationintheCommonIntrusionDetectionFramework）程序接口（CommonIntrusionDetectionFrameworkAPIs）

CIDF的体系结构文档阐述了一个标准的IDS的通用模型；规范语言定义了一个用来描述各种检测信息的标准语言；内部通讯定义了IDS组件之间进行通信的标准协议；程序接口提供了一整套标准的应用程序接口（API函数）。

8.3.2CIDF

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1．入侵检测引擎放在防火墙之外在这种情况下，入侵检测系统能接收到防火墙外网口的所有信息，管理员可以清楚地看到所有来自Internet的攻击，当与防火墙联动时，防火墙可以动态阻断发生攻击的连接。2．入侵检测引擎放在防火墙之内在这种情况下，穿透防火墙的攻击与来自于局域网内部的攻击都可以被入侵检测系统监听到，管理员可以清楚地看到哪些攻击真正对自己的网络构成了威胁。3．防火墙内外都装有入侵检测引擎在这种情况下，可以检测来自内部和外部的所有攻击，管理员可以清楚地看出是否有攻击穿透防火墙，对自己网络所面对的安全威胁了如指掌。4．将入侵检测引擎安装在其它关键位置安装在需要重点保护的网段，如财务部的子网，对该子网中发生的所有连接进行监控；安装在内部两个不同子网之间，监视两个子网之间的所有连接。根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器（Hub）上、交换机的调试端口（spanport）上、或专为监听所增设的分接器（Tap）上。

8.4入侵检测系统部署

8.4.1入侵检测系统部署的原则

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

国内某省级公司，随着业务需求的进一步扩展，原有的网络及系统平台已经不能满足应用需求,必须升级优化现有系统，其中提高网络的安全性是重中之重。该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司与各个子公司内部业务交流的核心平台，局域网是该公司内部日常办公的主要载体，外部信息的获取和发布通过互联网来完成。该公司的局域网核心交换机为CiscoCatalyst，以千兆下联若干台百兆交换机，均为CiscoCatalyst3524XL/3550系列交换机，并划分了多个VLAN；在网络出口处，该公司通过Cisco7401交换机与Internet连接，Internet接入边界有最基本的安全设备，一台硬件防火墙和一台VPN设备。公司提供包括WWW、SMTP、FTP等互联网应用服务，目前开设了一个内部信息发布、员工交流站点和一个对外展示企业形象的站点，公司还架设了一个供300多人使用的邮件系统。同时公司还拥有很多的重要应用系统，其中包括企业OA系统和各种信息管理系统。目前大流量的应用主要集中在局域网内，因此局域网的压力很大；大部分的应用必须跨广域网，但由于应用刚刚起步，因此跨广域网的流量不很大，随着信息化建设的逐步深入，广域网潜在的瓶颈将会严重影响应用的普及；公司与各个子公司之间以VPN相连8.4.2入侵检测系统部署实例

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1．安全需求分析用户目前主要的管理信息系统包括EAM（企业设备管理系统EnterpriseAssetManagement）、财务系统、生产调度系统、办公自动化系统和生产调度监视系统等。这些关键系统同时运行在该公司统一的电力系统网络平台之上，系统之间存在业务逻辑交叉和数据交换，因此系统的安全具有很大的关联性，特别是对于互联网接入的安全需要特别的关注。经过一段时间的检测分析发现，该用户网络主要存在如下威胁：a.网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为；b.发现部分主机由于未及时安装补丁程序或设置不当、口令强度不够等原因而被黑客入侵，并被安装后门程序；c拒绝服务攻击发生频率不高，但一般影响较大；d.蠕虫病毒传播和泛滥，危害不可小视。

2．部署实施策略尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问，但对网络内部发起的攻击无能为力。为此，采用了榕基基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。

7.8防火墙发展动态与趋势

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版入侵检测系统可以和防火墙获取相同的网络数据，当入侵检测系统发现异常攻击时，立即通知防火墙，防火墙迅速做出反应阻止当前攻击事件的继续，从而使得攻击失败，这样的防御体系能够对攻击作出实时的防御，达到安全处理应急事件的目的。目前榕基RJ-IDS入侵检测系统已经可以和市场上大部分主流防火墙（超过20种）进行联动阻断入侵者，如天融信、东软、亿阳、三星等。根据用户网络的实际状况，在千兆主干网络上部署了具备超强检测能力的榕基千兆型网络入侵检测系统RJ-IDS1000-F，以此检测逃避防火墙拦截的攻击流。在内部网段上，由于最可能受到的是来自内部人员的攻击和内植木马病毒的攻击，所以在各个VLAN内部部署百兆型网络入侵检测系统RJ-IDS100，随时检测内部的网络威胁。榕基RJ-IDS入侵检测系统是一个分布式的基于B/S的网络入侵检测系统。分布式的结构利于应用的扩展，B/S结构应用在网络环境中非常方便。实时地将告警日志按各种条件进行分类有助于帮助管理员迅速地发现某些特定攻击。榕基RJ-IDS入侵检测系统可以按多种标准动态地切换告警日志的分类，包括高、中、低风险、资产等，对历史攻击事件可以进行事件分析综合查询。经过一段时间的运行，榕基RJ-IDS入侵检测系统在防范外部攻击和阻止内部非法访问方面取得了良好的成效，根据统计分析后的数据显示，部署后该用户的网络安全状态得到了极大的改善，网络中信息流通更加畅通，企业员工的满意度很高。曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

特征(Signature)的基本概念：IDS中的特征一般指用于判别通讯信息种类的特征数据，以下是一些典型情况及识别方法：来自保留IP地址的连接企图：可通过检查IP报头(IPheader)的来源地址轻易地识别。带有非法TCP标识的数据包：可通过对比TCP报头中的标志集与已知正确和错误标记的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的附件来识别。查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图；还有另外一个识别方法是，在负载中搜索“壳代码利用”(ExploitShellcode)的序列代码组合。针对POP3服务器的DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征数据以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。从以上分类可以看出特征的涵盖范围很广，有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。

8.4.3入侵检测特征库的建立与应用

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

用户需要知道的是，不同的IDS产品具有的特征功能也有所差异。如有些网络IDS系统只允许很少地定制存在的特征数据或者编写需要的特征数据，另外一些则允许在很宽的范围内定制或编写用户需求的特征数据，甚至可以是任意特征；再则一些IDS系统只能检查确定的报头或负载数值，另外一些则可以获取任何信息包的任何位置的数据。特征是检测数据包中的可疑内容是否存在攻击行为的对照物。IDS系统本身已经拥有了特征库，为什么还需要定制或编写特征呢?笔者以为，也许你经常看到一些熟悉的通讯信息流在网络上游荡，由于IDS系统的特征数据库滞后或者这些通讯信息本身就不是攻击或探测数据，IDS系统并不会十分关注这样的信息，但身为网络的管理员，我们必须对这样的可疑数据提高警惕，因此我们需要指定一些特征样本，捕捉它们、仔细分析它们从何而来，目的又是什么。因此唯一的办法就是对现有特征数据库进行一些定制配置或者编写新的特征数据。特征的定制或编写程度可粗可细，完全取决于实际需求。或者是只判断是否发生了异常行为而不确定具体是什么攻击，从而节省资源和时间；或者是判断出具体的攻击手段或漏洞利用方式，从而获取更多的信息。曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版Snort是目前应用最为广泛的一个IDS产品，它被定位为一个轻量级的入侵检测系统，它具有以下几个特点：1．它是一个轻量级的网络入侵检测系统，所谓轻量级是指该软件在运行时只占用极少的网络资源，对原有网络性能影响很小。2．从数据来源上看，它是一个基于网络入侵的检测软件，即它作为嗅探器对发往同一网络的其他主机的流量进行捕获，然后进行分析。3．它的工作采用误用检测模型，即首先建立入侵行为特征哭，然后在检测过程中，将收集到的数据包和特征代码r进行比较，以得出是否入侵的结论。4．它是用c语言编写的开放源代码网络入侵检测系统。其源代码可以被自由的读取、传播和修改，任何一个程序员都可以自由地为其添加功能，修改错误，任意传播。这使它能迅速发展完善并推广应用。5．它是一个跨平台的软件，所支持的操作系统非常广泛，比如windows，linux，sunos等都支持。在windows下安装比较简单：首先下载windows下网络数据包捕获工具winpcap（[url]www.winpc[/url]），然后下载snort安装包，直接双击安装即可。6．Snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的入侵探测系统。8.5典型入侵检测产品简介

8.5.1入侵检测工具Snort

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版NetRanger以其高性能而闻名，而且它还非常易于裁剪。控制器程序可以综合多站点的信息并监视散布在整个企业网上的攻击。NetRanger的最大名声在于其是针对企业而设计的。这种名声的标志之一是其分销渠道，EDS、PerotSystems、IBMGlobalServices都是其分销商。

NetRanger在全球广域网上运行很成功。例如，它有一个路径备份(Path-doubling)功能。如果一条路径断掉了，信息可以从备份路径上传过来。它甚至能做到从一个点上监测全网或把监测权转给第三方。

NetRanger的另一个强项是其在检测问题时不仅观察单个包的内容，而且还看上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包，它就永远不会发现完整的信息。按照GartnerGroup公司的研究专家JudeO'Reilley的说法，NetRanger是目前市场上基于网络的入侵检测软件中经受实践考验最多的产品之一。对于某些用户来讲，NetRanger的强项也可能正好是其不足。它被设计为集成在OpenView或NetView下，在网络运行中心(NOC)使用，其配置需要对Unix有详细的了解。NetRanger相对较昂贵，这对于一般的局域网来讲未必很适合。8.5.2Cisco公司的NetRanger曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版CyberCop被设计成一个网络应用程序，一般在20分钟内就可以安装完毕。它预设了6种通常的配置模式:WindowsNT和Unix的混合子网、Unix子网、NT子网、远程访问、前沿网(如Internet的接入系统)和骨干网。它没有Netware的配置。前端设计成浏览器方式主要是考虑易于使用，发挥NetworkGeneral在提炼包数据上的经验，用户使用时也易于查看和理解。像在Sniffer中一样，它在帮助文档里结合了专家知识。CyberCop还能生成可以被Sniffer识别的踪迹文件。与NetRanger相比，CyberCop缺乏一些企业应用的特征，如路径备份功能等。按照CyberCop产品经理KatherineStolz的说法，NetworkAssociates公司在安全领域将有一系列的举措和合作。"我们定位在大规模的安全上，我们将成为整体解决方案的提供者。"

8.5.3NetworkAssociates公司的CyberCop

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版RealSecure的优势在于其简洁性和低价格。与NetRanger和CyberCop类似，RealSecure在结构上也是两部分。引擎部分负责监测信息包并生成告警，控制台接收报警并作为配置及产生数据库报告的中心点。两部分都可以在NT、Solaris、SunOS和Linux上运行，并可以在混合的操作系统或匹配的操作系统环境下使用。它们都能在商用微机上运行。对于一个小型的系统，将引擎和控制台放在同一台机器上运行是可以的，但这对于NetRanger或CyberCop却不行。RealSecure的引擎价值1万美元，控制台是免费的。一个引擎可以向多个控制台报告，一个控制台也可以管理多个引擎。

RealSecure可以对CheckPointSoftware的FireWall-1重新进行配置。根据入侵检测技术经理MarkWood的说法，ISS还计划使其能对Cisco的路由器进行重新配置，同时也正开发OpenView下的应用。

8.5.4InternetSecuritySystem公司的RealSecure

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

中科网威信息技术有限公司的“天眼”入侵检测系统、“火眼”网络安全漏洞检测系统是国内少有的几个入侵检测系统之一。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”8.5.5中科网威的“天眼”入侵检测系统

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1.Snort安装模式

Snort可简单安装为守护进程模式，也可安装为包括很多其他工具的完整的入侵检测系统。简单方式安装时，可以得到入侵数据的文本文件或二进制文件，然后用文本编辑器等工具进行查看。

Snort若与其它工具一起安装，则可以支持更为复杂的操作。例如，将Snort数据发送给数据库系统，从而支持通过Web界面进行数据分析，以增强对Snort捕获数据的直观认识，避免耗费大量时间查阅晦涩的日志文件。2．Snort的简单安装3．Snort的工作模式

Snort有三种工作模式，即嗅探器、数据包记录器、网络入侵检测系统。8.6案例

8.6.1Snort的安装与使用

曾湘黔主编：网络安全技术人有了知识，就会具备各种分析能力，明辨是非的能力。所以我们要勤恳读书，广泛阅读，古人说“书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；通过阅读文学作品，我们能提高文学鉴赏水平，培养文学情趣；通过阅读报刊，我们能增长见识，扩大自己的知识面。有许多书籍还能培养我们的道德情操，给我们巨大的精神力量，鼓舞我们前进。人有了知识，就会具备各种分析能力，第8章入侵检测技术方案曾湘黔主编：网络安全技术

清华大学出版社出版Internet自身的开放性的特点，使得网络安全防护的方式发生了很大变化，传统的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，它们的实施.是由通信双方共同完成：因为Internet网络结构错综复杂，因此安全防护方式截然不同。Internet的安全技术涉及传统的网络安全技术和分布式网络安全技术，主要是解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。于是在此情况下，出现了防火墙和入侵检测技术。第8章入侵检测技术曾湘黔主编：网络安全技术8.1入侵检测概述

8.1.1入侵检测原理

8.1.2入侵检测系统结构

8.1.3入侵检测系统分类 8.2入侵检测技术

8.2.1入侵检测分析模型

8.2.2误用检测

8.2.3异常检测

8.2.4其他检测技术 8.3入侵检测系统的标准

8.3.1IETF/IDWG 8.3.2CIDF 8.4入侵检测系统部署

8.4.1入侵检测系统部署的原则

8.4.2入侵检测系统部署实例

8.4.3入侵检测特征库的建立与应用 第8章入侵检测技术8.1入侵检测概述 第8章入侵检测技术曾湘黔主编：网络安全技术

清华大学出版社出版8.5典型入侵检测产品简介

8.5.1入侵检测工具Snort 8.5.2Cisco公司的NetRanger 8.5.3NetworkAssociates公司的CyberCop 8.5.4InternetSecuritySystem公司的RealSecure 8.5.5中科网威的“天眼”入侵检测系统 8.6案例

8.6.1Snort的安装与使用 第8章入侵检测技术曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。入侵检测作为安全技术其作用在于：识别入侵者识别入侵行为检测和监视己成功的安全突破为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。8.1入侵检测概述曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。8.1.1入侵检测原理

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF模型模型结构如图8-1所示。

图8-1CIDF模型结构图8.1.2入侵检测系统结构

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。如图8-2所示。图8-2系统构成8.1.2入侵检测系统结构曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1.IDS在结构上可划分为数据收集和数据分析两部分。（1）数据收集机制分布式与集中式数据收集机制。直接监控和间接监控。基于主机的数据收集和基于网络的数据收集。外部探测器和内部探测器（2）数据分析机制根据IDS如何处理数据，可以将IDS分为分布式IDS和集中式IDS。分布式IDS：在一些与受监视组件相应的位置对数据进行分析的IDS。集中式IDS：在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS。（3）缩短数据收集与数据分析的距离在实际操作过程中，数据收集和数据分析通常被划分成两个步骤，在不同的时间甚至是不同的地点进行。但这一分离存在着缺点，在实际使用过程中，数据收集与数据分析功能之间应尽量缩短距离。8.1.2入侵检测系统结构曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

根据入侵检测采用的技术，可以分为异常检测和误用检测。根据入侵检测监测的对象和所处的位置，分为基于网络和基于主机两种。

1.基于网络的入侵检测系统基于网络的入侵检测系统以网络数据包作为分析数据源，在被监视网络的网络数据流中寻找攻击特征和异常特征。它通常利用一个土作在混杂模式卜的网卡来实时监视并分析通过网络的数据流，使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，其响应模块就做出适当的响应，如报警、切断网络连接等。

NIDS优点是能检测许多基于主机的系统检测小到的攻击，而更可靠：具有更好的实时特性，对受保护的主机和网络系统的性能影响很小或几乎没有影响并且无需对原来的系统和结构进行改动；网络监听引擎是透明的，可以降低检测系统本身遭受攻击的可能性。其局限性是：无法检测物理的侵入被监视主机系统的活动、内部人员在授权范围内从事的非法活动和在网络数据包中无异常而只能通过主机状态的异常变化才能反映出来的攻击；在协议解析和模式匹配等方而的计算成本很高，不能检查加密的数据包，严重依赖于高层协议(如应用层)的解析能力，不知道接收节点对数据包的处理过程以及由此引起的状态变化。8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版2．基于主机的入侵检测系统基于主机的入侵检测是将检测系统安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动可疑(特征或行为违反统计规律)，入侵检测系统就会采取相应措施。其特点主要是对分析“可能的攻击行为”非常有用，不仅能够指出入侵者试图执行哪种“危险的命令”，还能分辨出入侵者运行了什么命令，进行了哪些操作、执行了哪些系统调用等。主机入侵检测系统与网络入侵检测系统相比，能够提供更为详尽的用户操作调用信息。基于主机的入侵检测系统有集中式和分布式两种体系结构，这两种结构都是基于代理的检测结构。代理是在目标系统上可执行的小程序，它们与命令控制平台进行通信。如果正确地操作，这些代理不会明显地降低口标系统的性能，但它们会带来部署和支持方面的问题。8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版（1）集中式体系结构该结构的特点是代理负责收集来自不同目标主机的日志，将日志进行预处理并转化为标准格式，山命令控制台对这些日志集中处理。该系统有如下优点:能够将来自不同口标主机的审计信息进行集中处理，这种方式对目标机的性能影响很小或没有影响，这可以允许进行更复杂的检测。可以创建日志，作为原始数据的数据档案，这些数据可用于起诉中。可用于多主机标志检测。可将存储在数据库中的告警信息和原始数据结合起来分析，这能帮助许多入侵检测，还可以进行数据辨析以查看长期趋势。同时集中式系统也存在有以下的缺点：除非口标机的数量较少或者检测引擎很快，否则会对实时检测或实时响应带来影响。将大量原始数据集中起来会影响网络通信量8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版（2）分布式体系结构该结构的特点是将不同的代理安装在不同的目标机上，实时地分析数据，但记录本身在被目标机上的检测引擎分析提出有用信息之后就被丢弃了。该结构的优点是实时告警、实时响应。缺点是降低了口标机的性能，没有原始数据档案，降低了数据辨析能力。8.1.3入侵检测系统分类

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

人们多年来对入侵检测的研究，使得该研究领域已具有一定的规模和相应的理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析，以检测其中是否包含入侵或异常行为的迹象。分析是入侵检测的核心功能，它既能简单到像一个已熟悉日志情况的管理员去建立决策表，也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测过程分析过程分为三部分：信息收集、信息分析和结果处理。信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。8.2入侵检测技术

8.2.1入侵检测分析模型曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

误用检测也被称为基于知识的检测，它指运用己知的攻击方法，根据己定义好的入侵模式，通过判断这些入侵模式是否出现来检测。基于模式匹配的误用入侵检测模式匹配就是将捕获到的数据与己知网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。基于专家系统的误用入侵检测基于专家系统的误用入侵检测方法是通过将安全专家的知识表示成规则形成专家知识库，然后运用推理算法检测入侵。用专家系统对入侵进行检测，经常是针对有特征的入侵行为。所谓的规则，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。在具体实现中，专家系统主要面临以下问题:

难以科学地从各种入侵手段中抽象出全面地规则化知识；所需处理地数据量过大，而且在大型系统上，如何实时连续地审计数据也是一个问题。8.2.2误用检测

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关，通用型较强。异常检测方法主要有以下两种。

1.统计分析概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与己存储定型的以前特征，从而判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。

2．神经网络神经网络方法是利用一个包含很多计算单兀的网络来完成复杂的映射函数，这些单元通过使用加权的连接相互作用。一个神经网络只是根据单元和它们间的权值连接编码成网络结构，实际的学习过程是通过改变权值和加入或移去连接进行的。神经网络处理分为两个阶段：首先，通过正常系统行为对该网络进行训练，调整其结构和权值：然后将所观测到的韦件流输入网络，由此判别这些事件流是正常(与训练数据匹配的)还是异常。同时，系统也能利用这些观测到的数据进行训练，从而使网络可以学习系统行为的一些变化。8.2.3异常检测曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1．基于规则的入侵检测基于规则的入侵检测是通过观察系统里发生的事件并将该事件与系统的规则集进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。基于规则的入侵检测分为：基于规则的异常检测和基于规则的渗透检测。

2．分布式入侵检测分布式入侵检测系统设计应包含：主机代理模块、局域网监测代理模块和中央管理器模块三个模块。8.2.4其他检测技术曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

为了提高IDS产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计划署（DARPA）和互联网工程任务组（IETF）的入侵检测工作组（IDWG）发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面规范IDS的标准。1．IDMEF

IDMEF描述了表示入侵检测系统输出信息的数据模型，并解释了使用此模型的基本原理。该数据模型用XML实现，并设计了一个XML文档类型定义。2．IDXP

IDXP（入侵检测交换协议）是一个用于入侵检测实体之间交换数据的应用层协议，能够实现IDMEF消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征。

8.3入侵检测系统的标准

8.3.1IETF/IDWG

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略。CIDF的主要作用在于集成各种IDS使之协同工作，实现各IDS之间的组件重用，所以CIDF也是构建分布式IDS的基础。

CIDF的规格文档由四部分组成，分别为：体系结构（TheCommonIntrusionDetectionFrameworkArchitecture）规范语言（ACommonIntrusionSpecificationLanguage）内部通讯（CommunicationintheCommonIntrusionDetectionFramework）程序接口（CommonIntrusionDetectionFrameworkAPIs）

CIDF的体系结构文档阐述了一个标准的IDS的通用模型；规范语言定义了一个用来描述各种检测信息的标准语言；内部通讯定义了IDS组件之间进行通信的标准协议；程序接口提供了一整套标准的应用程序接口（API函数）。

8.3.2CIDF

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1．入侵检测引擎放在防火墙之外在这种情况下，入侵检测系统能接收到防火墙外网口的所有信息，管理员可以清楚地看到所有来自Internet的攻击，当与防火墙联动时，防火墙可以动态阻断发生攻击的连接。2．入侵检测引擎放在防火墙之内在这种情况下，穿透防火墙的攻击与来自于局域网内部的攻击都可以被入侵检测系统监听到，管理员可以清楚地看到哪些攻击真正对自己的网络构成了威胁。3．防火墙内外都装有入侵检测引擎在这种情况下，可以检测来自内部和外部的所有攻击，管理员可以清楚地看出是否有攻击穿透防火墙，对自己网络所面对的安全威胁了如指掌。4．将入侵检测引擎安装在其它关键位置安装在需要重点保护的网段，如财务部的子网，对该子网中发生的所有连接进行监控；安装在内部两个不同子网之间，监视两个子网之间的所有连接。根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器（Hub）上、交换机的调试端口（spanport）上、或专为监听所增设的分接器（Tap）上。

8.4入侵检测系统部署

8.4.1入侵检测系统部署的原则

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

国内某省级公司，随着业务需求的进一步扩展，原有的网络及系统平台已经不能满足应用需求,必须升级优化现有系统，其中提高网络的安全性是重中之重。该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司与各个子公司内部业务交流的核心平台，局域网是该公司内部日常办公的主要载体，外部信息的获取和发布通过互联网来完成。该公司的局域网核心交换机为CiscoCatalyst，以千兆下联若干台百兆交换机，均为CiscoCatalyst3524XL/3550系列交换机，并划分了多个VLAN；在网络出口处，该公司通过Cisco7401交换机与Internet连接，Internet接入边界有最基本的安全设备，一台硬件防火墙和一台VPN设备。公司提供包括WWW、SMTP、FTP等互联网应用服务，目前开设了一个内部信息发布、员工交流站点和一个对外展示企业形象的站点，公司还架设了一个供300多人使用的邮件系统。同时公司还拥有很多的重要应用系统，其中包括企业OA系统和各种信息管理系统。目前大流量的应用主要集中在局域网内，因此局域网的压力很大；大部分的应用必须跨广域网，但由于应用刚刚起步，因此跨广域网的流量不很大，随着信息化建设的逐步深入，广域网潜在的瓶颈将会严重影响应用的普及；公司与各个子公司之间以VPN相连8.4.2入侵检测系统部署实例

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版1．安全需求分析用户目前主要的管理信息系统包括EAM（企业设备管理系统EnterpriseAssetManagement）、财务系统、生产调度系统、办公自动化系统和生产调度监视系统等。这些关键系统同时运行在该公司统一的电力系统网络平台之上，系统之间存在业务逻辑交叉和数据交换，因此系统的安全具有很大的关联性，特别是对于互联网接入的安全需要特别的关注。经过一段时间的检测分析发现，该用户网络主要存在如下威胁：a.网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为；b.发现部分主机由于未及时安装补丁程序或设置不当、口令强度不够等原因而被黑客入侵，并被安装后门程序；c拒绝服务攻击发生频率不高，但一般影响较大；d.蠕虫病毒传播和泛滥，危害不可小视。

2．部署实施策略尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问，但对网络内部发起的攻击无能为力。为此，采用了榕基基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。

7.8防火墙发展动态与趋势

曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版入侵检测系统可以和防火墙获取相同的网络数据，当入侵检测系统发现异常攻击时，立即通知防火墙，防火墙迅速做出反应阻止当前攻击事件的继续，从而使得攻击失败，这样的防御体系能够对攻击作出实时的防御，达到安全处理应急事件的目的。目前榕基RJ-IDS入侵检测系统已经可以和市场上大部分主流防火墙（超过20种）进行联动阻断入侵者，如天融信、东软、亿阳、三星等。根据用户网络的实际状况，在千兆主干网络上部署了具备超强检测能力的榕基千兆型网络入侵检测系统RJ-IDS1000-F，以此检测逃避防火墙拦截的攻击流。在内部网段上，由于最可能受到的是来自内部人员的攻击和内植木马病毒的攻击，所以在各个VLAN内部部署百兆型网络入侵检测系统RJ-IDS100，随时检测内部的网络威胁。榕基RJ-IDS入侵检测系统是一个分布式的基于B/S的网络入侵检测系统。分布式的结构利于应用的扩展，B/S结构应用在网络环境中非常方便。实时地将告警日志按各种条件进行分类有助于帮助管理员迅速地发现某些特定攻击。榕基RJ-IDS入侵检测系统可以按多种标准动态地切换告警日志的分类，包括高、中、低风险、资产等，对历史攻击事件可以进行事件分析综合查询。经过一段时间的运行，榕基RJ-IDS入侵检测系统在防范外部攻击和阻止内部非法访问方面取得了良好的成效，根据统计分析后的数据显示，部署后该用户的网络安全状态得到了极大的改善，网络中信息流通更加畅通，企业员工的满意度很高。曾湘黔主编：网络安全技术曾湘黔主编：网络安全技术

清华大学出版社出版

特征(Signature)的基本概念：IDS中的特征一般指用于判别通讯信息种类的特征数据，以下是一些典型情况及识别方法：来自保留IP地址的连接企图：可通过检查IP报头(IPheader)的来源地址轻易地识别。带有非法TCP标识的数据包：可通过对比TCP报头中的标志集与已知正确和错误标记的不同点来识别。含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的附件来识别。查询负载中的DNS缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图；还有另外一个识别方法是，在负载中搜索“壳代码利用”(ExploitShellcode)的序列代码组合。针对POP3服务器的