第五讲混合式入侵检测技术课件

5第五讲混合式入侵检测技术5第五讲混合式入侵检测技术本章概述Zhanglinlin混合型入侵检测技术，主要分为两种类型采用多种信息输入源的入侵检测技术如同时采用网络数据包和主机审计数据作为数据来源以DIDS系统为典型代表。多种信息输入源强调采用多种不同类型的入侵检测方法例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术早期著名的IDES和NIDES系统。多种不同类型2本章概述Zhanglinlin混合型入侵检测技术，主要分为ZhanglinlinContents多种信息源的入侵检测技术1多种检测方法的入侵检测技术2本章小结33ZhanglinlinContents多种信息源的入侵检测ZhanglinlinContents多种信息源的入侵检测技术1多种检测方法的入侵检测技术2本章小结34ZhanglinlinContents多种信息源的入侵检测采用多种信息源的入侵检测技术教学目标熟悉DIDS的架构及其各组成部分理解DIDS实现对多种信息源进行检测的思想Zhanglinlin5采用多种信息源的入侵检测技术教学目标Zhanglinlin采用多种信息源的入侵检测技术以DIDS为例Zhanglinlin1991年，在USAFCryptologicSupportCenter、LawrenceLivermoreNationalLaboratory、UCDavis和Haystack实验室的的合作下，SteveSmaha领导了DIDS（DistributedIntrusionDetectionSystem）项目的开发。DIDS第一次将基于主机的和基于网络的入侵检测方法结合起来，由一个中央控制单元把各节点收集来的多个主机的审计记录以及网络流量进行合并分析，从而能检测出更复杂的攻击行为。6采用多种信息源的入侵检测技术以DIDS为例Zhanglin补充Zhanglinlin7补充Zhanglinlin7采用多种信息源的入侵检测-DIDSDIDS设计的目标环境和所要完成的任务ZhanglinlinDIDS系统设计的目标环境一组经由以太局域网连接起来的主机并且这些主机系统都满足C2等级的安全审计功能要求DIDS所要完成的任务是监控网络中各个主机的安全状态同时检测针对局域网本身的攻击行为。8采用多种信息源的入侵检测-DIDSDIDS设计的目标环境和所采用多种信息源的入侵检测-DIDS系统设计架构Zhanglinlin控制台负责管理和控制主机监控器和网络监控器主机监控器：从主机系统中获取审计记录，经分析检测，生成异常事件报告，送至中央控制台局域网监控器监控网段内的数据包数据，将所发现的异常事件发送到中央控制台9采用多种信息源的入侵检测-DIDS系统设计架构Zhangl采用多种信息源的入侵检测-DIDS主机监控器由两部分组成Zhanglinlin主机事件发生器HEG组件负责从所在主机系统中收集审计记录，并对其进行安全分析主机代理则负责与中央控制台的通信联系。10采用多种信息源的入侵检测-DIDS主机监控器由两部分组成Zh采用多种信息源的入侵检测-DIDS主机监控器的工作机制Zhanglinlin主机监控器首先从主机系统中读取C2审计数据文件，获取审计记录，然后将这些审计记录映射到DIDS系统定义的规范格式HAR上。之后，将这些统一格式的记录进行必需的过滤操作以去除冗余后，再进行各种分析检测工作，生成不同的异常事件报告，交由主机代理发送到中央控制台。11采用多种信息源的入侵检测-DIDS主机监控器的工作机制Zha采用多种信息源的入侵检测-DIDS局域网监控器组成Zhanglinlin局域网代理将所发现的异常事件发送到中央控制台，同时接受控制台的控制命令，负责提供更进一步的详细信息局域网事件发生器LEG负责观察网段内的所有来往数据包数据，并检测主机间网络连接，以及服务访问情况的安全状态，包括每个连接内的数据流量等12采用多种信息源的入侵检测-DIDS局域网监控器Zhangl采用多种信息源的入侵检测-DIDS局域网监控器特点（与主机监控器不同，没有现成的审计记录可用）ZhanglinlinLEG组件必须从当前网络数据包中构建所需的网络审计记录（NAR,NetworkAuditRecord）。LEG组件主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况。LEG还建立和维护当前网络行为的正常模型，并检测当前网络使用情况与正常模型的偏离情况。13采用多种信息源的入侵检测-DIDS局域网监控器Zhangl采用多种信息源的入侵检测-DIDS控制台组成Zhanglinlin用户接口：通过通信管理器查询特定主机系统上某个特定用户的登录等活动情况。是以友好的方式实时地提供用户关心的系统信息，包括实时的异常事件显示、整个系统的安全状态信息等；同时，它还提供用户进行特定控制和查询功能的接口专家系统：在收集来自各个监控器事件记录的基础上，执行关联分析和安全状态评估的任务。其核心部分是用于进行推理工作的规则库通信管理器：提供专家系统和用户接口与底层各个监控器之间的双向通信通道。14采用多种信息源的入侵检测-DIDS控制台ZhanglinlDIDS中央控制台组件能够解决两个关键的问题网络环境下对特定用户和系统对象（例如文件）的跟踪问题。DIDS提出了网络用户标识（NID）的概念，目的是惟一标识在目标网络环境中多台主机间不断移动的用户。不同层次的入侵数据抽象问题。DIDS系统提出了一个6层的入侵检测模型，并以此模型为基础和指导，构造了专家系统的检测规则集合。Zhanglinlin采用多种信息源的入侵检测-DIDS15DIDS中央控制台组件能够解决两个关键的问题Zhangli采用多种信息源的入侵检测-DIDSDIDS的入侵检测模型Zhanglinlin原始的主机审计数据和网络数据包标准主机审计记录（HAR）和网络审计记录（NAR）主体标识层，对每个事件都赋予一个惟一的主体标识。处理各种事件在系统当前上下文中所呈现的状态计算出所有事件的威胁程度经过函数计算，最终得出一个反映系统当前安全状态的分数值16采用多种信息源的入侵检测-DIDSDIDS的入侵检测模型ZhZhanglinlinContents多种信息源的入侵检测技术1多种检测方法的入侵检测技术2本章小结317ZhanglinlinContents多种信息源的入侵检测多种检测方法的ID技术—IDES及NIDES教学目标了解IDES和NIDES的总体结构及各组件情况掌握多种检测方法混合式ID架构设计的技术特点Zhanglinlin18多种检测方法的ID技术—IDES及NIDES教学目标Zhan多种检测方法的ID技术—IDES及NIDESIDES简介Zhanglinlin1984年—1986年，乔治敦大学的DorothyDenning和SRI/CSL（SRI公司计算机科学实验室）的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。1988年，SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型，并开发出了一个IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。DorothyDenning还有哪些贡献？19多种检测方法的ID技术—IDES及NIDESIDES简介Zh多种检测方法的ID技术—IDES及NIDESIDES简介Zhanglinlin入侵检测专家系统（IDES）是一个混合型的入侵检测系统，使用专家系统检测模块来对已知的入侵攻击模式进行检测。NIDES系统继承了IDES系统设计的基础思路，同时做出若干改进更新，以适应更高的用户需求。最初版本的IDES系统仅仅支持一个单独的目标主机系统，后继版本扩充了系统设计架构，从而可以支持任意数目的异构目标系统。20多种检测方法的ID技术—IDES及NIDESIDES简介Zh多种检测方法的ID技术—IDES及NIDES系统架构设计Zhanglinlin由四个部分组成IDES目标系统域通常包含一组邻域，而每个邻域又包含多台目标主机邻域：一组具有类似特性的目标主机系统。IDES处理引擎负责处理从目标系统域中多个邻域内获得的审计数据信息。检测组件对每个审计数据进行分析处理在IDES系统中实现了两个检测组件：一个基于统计分析的方法，另外一个基于规则分析的方法。21多种检测方法的ID技术—IDES及NIDES系统架构设计Zh多种检测方法的ID技术—IDES及NIDES系统架构设计ZhanglinlinIDES的邻域接口:连接IDES邻域和IDES检测组件的桥梁由两部分组成。一部分驻留在目标主机系统上（邻域客户），另一部分位于IDES处理引擎所在的本地主机上（邻域服务器）22多种检测方法的ID技术—IDES及NIDES系统架构设计Zh多种检测方法的ID技术—IDES及NIDES系统架构设计ZhanglinlinIDES的用户接口：允许用户观察在系统中所产生和处理的任何信息，包括系统各个组件的状态和活动情况。用户接口独立于基本的IDES数据处理过程，其有利于进行更好的模块化设计。23多种检测方法的ID技术—IDES及NIDES系统架构设计Zh多种检测方法的ID技术—IDES及NIDESIDES系统的实现问题高度模块化每个组件的具体实现都可以在不用对系统架构进行基本修改的前提下加以改变，即高度模块化的设计架构允许IDES系统的底层实现结构与上层的内核功能实现分隔开来。IDES系统的功能组件实际由以下功能组件构成：邻域接口、统计异常检测器、专家系统异常检测器和用户接口。Zhanglinlin24多种检测方法的ID技术—IDES及NIDESIDES系统的实多种检测方法的ID技术—IDES及NIDESNIDES系统的架构设计客户机和服务器模式ZhanglinlinArpool服务器：负责管理来自目标主机的审计数据，并提供给后继的检测组件客户进程分析服务器：负责接收统计分析组件和规则分析组件的分析结果，并负责通过特定代理向SOUI服务器提供警报信息。SOUI服务器：负责实现用户接口功能25多种检测方法的ID技术—IDES及NIDESNIDES系统的多种检测方法的ID技术—IDES及NIDES邻域接口ZhanglinlinArpoolAgenAgen：留驻在目标系统上的组件，通常它以离散的时间间隔对每一个审计文件进行轮询，以确定目标主机是否已经加入了新的审计数据。Arpool：留驻在邻域接口的服务器端，接收从多个目标机器发来的IDES格式的审计记录，并将它们序列化成一个单独的记录流，然后再对数据做进一步的处理。同时也是一个用来存储等待IDES处理的审计记录的临时缓存，用来集中存放审计数据的地方称为“审计数据池”Agen和Arpool组件之间采用的是RPC（远程过程调用）通信协议26多种检测方法的ID技术—IDES及NIDES邻域接口Zhan多种检测方法的ID技术—IDES及NIDES统计分析组件（IDES统计异常检测引擎）ZhanglinlinIDES统计异常检测引擎：观测在所监控计算机系统上的活动行为，自适应地学习主体的正常行为模式。维护一个主体的统计知识库，其中包含主体的档案。使用特定的入侵检测测量值来决定所观测到的审计记录中的行为，并与过去或者可接受的行为对比是否异常。27多种检测方法的ID技术—IDES及NIDES统计分析组件（I回顾：用于入侵检测的统计模型—示例IDES采用入侵检测向量：当前系统的活动状态采用一组测量值参数变量来表示定义了3种不同类型的测量值：用户主体、目标系统主体和远程主机主体。4个类别的单独测量值活动强度测量值审计记录分布测量值类别测量值序数测量值Zhanglinlin28回顾：用于入侵检测的统计模型—示例IDESZhanglin回顾：用于入侵检测的统计模型—示例IDES用户主体类型的测量值序数测量值类别测量值审计记录分布测量值活动强度测量值ZhanglinlinCPU使用情况

I/O使用情况使用物理位置●邮件程序使用●编辑器使用●编译器使用●外壳使用●窗口命令使用●通用程序使用●通用系统调用使用●文件活动●文件使用●所访问用户的ID号…对于以上的每个测量值，在审计记录分布测量值中都有一个对应的类别。如：CPU测量的类型为：审计记录指示CPU使用的增量大于0每分钟的流量●每10分钟的流量●每小时的流量对于用户所生成的每一个审计记录，IDES系统经计算生成一个单独的测试统计值（IDES分数值，表示为T2），用来综合表明最近用户行为的异常程度。统计值T2本身是一个对多个测量值异常度的综合评价。因而IDES很好地体现了模型2和3.29回顾：用于入侵检测的统计模型—示例IDES用户主体类型的测量多种检测方法的ID技术—IDES及NIDESZhanglinlin专家系统组件IDES系统的基于规则分析组件IDES系统的基于规则分析组件采用一组规则来评价活动事件（即审计记录流），从而对用户的当前行为是否正常做出评价。是一个基于规则的前向链系统，即系统是由输入到知识库中的事实进行驱动的，而非用户设定的目标驱动IDES系统采用PBEST专家系统工具来编写检测规则库。PBEST编译器将用户编写的规则库转换为C语言代码，进一步编译后就可构建一个实用的可执行程序。30多种检测方法的ID技术—IDES及NIDESZhangli多种检测方法的ID技术—IDES及NIDES解析器Zhanglinlin在IDES系统中，规则分析组件和统计分析组件是独立并行工作的。它们共享相同的审计记录来源，并生成各自的分析报告；在后继的NIDES系统中，引入一个解析器组件来合并分析这两个组件的输出结果。解析器组件分析由统计分析组件和基于规则分析组件所各自发出的警报信号，并报告去除冗余后的警报信号。31多种检测方法的ID技术—IDES及NIDES解析器Zhang多种检测方法的ID技术—IDES及NIDES解析器的数据结构Zhanglinlintypedefenum{SAFE,/*Everythingisokay*/CRITICAL,/*CriticalAlert*/}ia_result_code;typedefstructaudit_record_info{…}audit_record_info;typedefstructRulebase_Analysis{…}Rulebase_Analysis;typedefstructStats_Analysis{…}Stats_Analysis;typedefstructStats_result{…}Stats_result;typedefstructRulebase_result{…}Rulebase_result;typedefstructAlert{…}Alert;32多种检测方法的ID技术—IDES及NIDES解析器的数据结构5第五讲混合式入侵检测技术5第五讲混合式入侵检测技术本章概述Zhanglinlin混合型入侵检测技术，主要分为两种类型采用多种信息输入源的入侵检测技术如同时采用网络数据包和主机审计数据作为数据来源以DIDS系统为典型代表。多种信息输入源强调采用多种不同类型的入侵检测方法例如同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术早期著名的IDES和NIDES系统。多种不同类型34本章概述Zhanglinlin混合型入侵检测技术，主要分为ZhanglinlinContents多种信息源的入侵检测技术1多种检测方法的入侵检测技术2本章小结335ZhanglinlinContents多种信息源的入侵检测ZhanglinlinContents多种信息源的入侵检测技术1多种检测方法的入侵检测技术2本章小结336ZhanglinlinContents多种信息源的入侵检测采用多种信息源的入侵检测技术教学目标熟悉DIDS的架构及其各组成部分理解DIDS实现对多种信息源进行检测的思想Zhanglinlin37采用多种信息源的入侵检测技术教学目标Zhanglinlin采用多种信息源的入侵检测技术以DIDS为例Zhanglinlin1991年，在USAFCryptologicSupportCenter、LawrenceLivermoreNationalLaboratory、UCDavis和Haystack实验室的的合作下，SteveSmaha领导了DIDS（DistributedIntrusionDetectionSystem）项目的开发。DIDS第一次将基于主机的和基于网络的入侵检测方法结合起来，由一个中央控制单元把各节点收集来的多个主机的审计记录以及网络流量进行合并分析，从而能检测出更复杂的攻击行为。38采用多种信息源的入侵检测技术以DIDS为例Zhanglin补充Zhanglinlin39补充Zhanglinlin7采用多种信息源的入侵检测-DIDSDIDS设计的目标环境和所要完成的任务ZhanglinlinDIDS系统设计的目标环境一组经由以太局域网连接起来的主机并且这些主机系统都满足C2等级的安全审计功能要求DIDS所要完成的任务是监控网络中各个主机的安全状态同时检测针对局域网本身的攻击行为。40采用多种信息源的入侵检测-DIDSDIDS设计的目标环境和所采用多种信息源的入侵检测-DIDS系统设计架构Zhanglinlin控制台负责管理和控制主机监控器和网络监控器主机监控器：从主机系统中获取审计记录，经分析检测，生成异常事件报告，送至中央控制台局域网监控器监控网段内的数据包数据，将所发现的异常事件发送到中央控制台41采用多种信息源的入侵检测-DIDS系统设计架构Zhangl采用多种信息源的入侵检测-DIDS主机监控器由两部分组成Zhanglinlin主机事件发生器HEG组件负责从所在主机系统中收集审计记录，并对其进行安全分析主机代理则负责与中央控制台的通信联系。42采用多种信息源的入侵检测-DIDS主机监控器由两部分组成Zh采用多种信息源的入侵检测-DIDS主机监控器的工作机制Zhanglinlin主机监控器首先从主机系统中读取C2审计数据文件，获取审计记录，然后将这些审计记录映射到DIDS系统定义的规范格式HAR上。之后，将这些统一格式的记录进行必需的过滤操作以去除冗余后，再进行各种分析检测工作，生成不同的异常事件报告，交由主机代理发送到中央控制台。43采用多种信息源的入侵检测-DIDS主机监控器的工作机制Zha采用多种信息源的入侵检测-DIDS局域网监控器组成Zhanglinlin局域网代理将所发现的异常事件发送到中央控制台，同时接受控制台的控制命令，负责提供更进一步的详细信息局域网事件发生器LEG负责观察网段内的所有来往数据包数据，并检测主机间网络连接，以及服务访问情况的安全状态，包括每个连接内的数据流量等44采用多种信息源的入侵检测-DIDS局域网监控器Zhangl采用多种信息源的入侵检测-DIDS局域网监控器特点（与主机监控器不同，没有现成的审计记录可用）ZhanglinlinLEG组件必须从当前网络数据包中构建所需的网络审计记录（NAR,NetworkAuditRecord）。LEG组件主要审计主机之间的连接、所访问的服务类型以及每个连接的数据流量情况。LEG还建立和维护当前网络行为的正常模型，并检测当前网络使用情况与正常模型的偏离情况。45采用多种信息源的入侵检测-DIDS局域网监控器Zhangl采用多种信息源的入侵检测-DIDS控制台组成Zhanglinlin用户接口：通过通信管理器查询特定主机系统上某个特定用户的登录等活动情况。是以友好的方式实时地提供用户关心的系统信息，包括实时的异常事件显示、整个系统的安全状态信息等；同时，它还提供用户进行特定控制和查询功能的接口专家系统：在收集来自各个监控器事件记录的基础上，执行关联分析和安全状态评估的任务。其核心部分是用于进行推理工作的规则库通信管理器：提供专家系统和用户接口与底层各个监控器之间的双向通信通道。46采用多种信息源的入侵检测-DIDS控制台ZhanglinlDIDS中央控制台组件能够解决两个关键的问题网络环境下对特定用户和系统对象（例如文件）的跟踪问题。DIDS提出了网络用户标识（NID）的概念，目的是惟一标识在目标网络环境中多台主机间不断移动的用户。不同层次的入侵数据抽象问题。DIDS系统提出了一个6层的入侵检测模型，并以此模型为基础和指导，构造了专家系统的检测规则集合。Zhanglinlin采用多种信息源的入侵检测-DIDS47DIDS中央控制台组件能够解决两个关键的问题Zhangli采用多种信息源的入侵检测-DIDSDIDS的入侵检测模型Zhanglinlin原始的主机审计数据和网络数据包标准主机审计记录（HAR）和网络审计记录（NAR）主体标识层，对每个事件都赋予一个惟一的主体标识。处理各种事件在系统当前上下文中所呈现的状态计算出所有事件的威胁程度经过函数计算，最终得出一个反映系统当前安全状态的分数值48采用多种信息源的入侵检测-DIDSDIDS的入侵检测模型ZhZhanglinlinContents多种信息源的入侵检测技术1多种检测方法的入侵检测技术2本章小结349ZhanglinlinContents多种信息源的入侵检测多种检测方法的ID技术—IDES及NIDES教学目标了解IDES和NIDES的总体结构及各组件情况掌握多种检测方法混合式ID架构设计的技术特点Zhanglinlin50多种检测方法的ID技术—IDES及NIDES教学目标Zhan多种检测方法的ID技术—IDES及NIDESIDES简介Zhanglinlin1984年—1986年，乔治敦大学的DorothyDenning和SRI/CSL（SRI公司计算机科学实验室）的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。1988年，SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型，并开发出了一个IDES。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。DorothyDenning还有哪些贡献？51多种检测方法的ID技术—IDES及NIDESIDES简介Zh多种检测方法的ID技术—IDES及NIDESIDES简介Zhanglinlin入侵检测专家系统（IDES）是一个混合型的入侵检测系统，使用专家系统检测模块来对已知的入侵攻击模式进行检测。NIDES系统继承了IDES系统设计的基础思路，同时做出若干改进更新，以适应更高的用户需求。最初版本的IDES系统仅仅支持一个单独的目标主机系统，后继版本扩充了系统设计架构，从而可以支持任意数目的异构目标系统。52多种检测方法的ID技术—IDES及NIDESIDES简介Zh多种检测方法的ID技术—IDES及NIDES系统架构设计Zhanglinlin由四个部分组成IDES目标系统域通常包含一组邻域，而每个邻域又包含多台目标主机邻域：一组具有类似特性的目标主机系统。IDES处理引擎负责处理从目标系统域中多个邻域内获得的审计数据信息。检测组件对每个审计数据进行分析处理在IDES系统中实现了两个检测组件：一个基于统计分析的方法，另外一个基于规则分析的方法。53多种检测方法的ID技术—IDES及NIDES系统架构设计Zh多种检测方法的ID技术—IDES及NIDES系统架构设计ZhanglinlinIDES的邻域接口:连接IDES邻域和IDES检测组件的桥梁由两部分组成。一部分驻留在目标主机系统上（邻域客户），另一部分位于IDES处理引擎所在的本地主机上（邻域服务器）54多种检测方法的ID技术—IDES及NIDES系统架构设计Zh多种检测方法的ID技术—IDES及NIDES系统架构设计ZhanglinlinIDES的用户接口：允许用户观察在系统中所产生和处理的任何信息，包括系统各个组件的状态和活动情况。用户接口独立于基本的IDES数据处理过程，其有利于进行更好的模块化设计。55多种检测方法的ID技术—IDES及NIDES系统架构设计Zh多种检测方法的ID技术—IDES及NIDESIDES系统的实现问题高度模块化每个组件的具体实现都可以在不用对系统架构进行基本修改的前提下加以改变，即高度模块化的设计架构允许IDES系统的底层实现结构与上层的内核功能实现分隔开来。IDES系统的功能组件实际由以下功能组件构成：邻域接口、统计异常检测器、专家系统异常检测器和用户接口。Zhanglinlin56多种检测方法的ID技术—IDES及NIDESIDES系统的实多种检测方法的ID技术—IDES及NIDESNIDES系统的架构设计客户机和服务器模式ZhanglinlinArpool服务器：负责管理来自目标主机的审计数据，并提供给后继的检测组件客户进程分析服务器：负责接收统计分析组件和规则分析组件的分析结果，并负责通过特定代理向SOUI服务器提供警报信息。SOUI服务器：负责实现用户接口功能57多种检测方法的ID技术—IDES及NIDESNIDES系统的多种检测方法的ID技术—IDES及NIDES邻域接口ZhanglinlinArpoolAgenAgen：留驻在目标系统上的组件，通常它以离散的时间间隔对每一个审计文件进行轮询，以确定目标主机是否已经加入了新的审计数据。Arpool：留驻在邻域接口的服务器端，接收从多个目标机器发来的IDES格式的审计记录，并将它们序列化成一个单独的记录流，然后再对数据做进一步的处理。同时也是一个用来存储等待IDES处理的审计记录的临时缓存，用来集中存放审计数据的地方称为“审计数据池”Agen和Arpool组件之间采用的是RPC（远程过程调用）通信协议58多种检测方法的ID技术—IDES及NIDES邻域接口Zhan多种检测方法的ID技术—IDES及NIDES统计分析组件（IDES统计异常检测引擎）ZhanglinlinIDES统计异常检测引擎：观测在所监控计算机系统上的活动行为，自适应地学习主体的正常行为模式。维护一个主体的统计知识库，其中包含主体的档案。使用特定的入侵检测测量值来决定所观测到的审计记录中的行为，并与过去或者可接受的行为对比是否异常。59多种检测方法的ID技术—IDES及NIDES统计分析组件（I回顾：用于入侵检测的统计模型—示例IDES采用入侵检测向量：当前系统的活动状态采用一组测量值参数变量来表示定义了3种不同类型的测量值：用户主体、目标系统主体和远程主机主体。4个类别的单独测量值活动强度测量值审计记录分布测量值类别测量值序数测量值Zhanglinlin60回顾：用于入侵检测的统计模型—示例IDESZhanglin回顾：用于入侵检测的统计模型—示例IDES用户主体类型的测量值序数测量值类别测量值审计记录分布测量值活动强度测