《入侵检测概述》PPT课件.ppt

入侵检测概述,1,第1章 入侵检测概述,曹元大主编，人民邮电出版社，2007年,入侵检测概述,2,第1章 入侵检测概述,概述:网络安全基本概念入侵检测的产生与发展入侵检测的基本概念,入侵检测概述,3,记住两句话,入侵检测概述,4,单一产品的缺陷,动态多变的网络环境,1,防御方法和防御策略的有限性,2,来自外部和内部的威胁,3,入侵检测概述,5,安全事件模式,入侵检测概述,6,传统的安全措施,加密数字签名身份鉴别：口令、鉴别交换协议、生物特征访问控制安全协议：IPSec、SSL网络安全产品与技术：防火墙、VPN防火墙在大多数机构的网络安全策略中起到支柱作用,入侵检测概述,7,防火墙的位置,入侵检测概述,8,防火墙,STOP!,1.验明正身2.检查权限,防火墙的作用,阻绝非法进出,入侵检测概述,9,防火墙办不到的事,防火墙,病毒等恶性程序可利用 email 夹带闯关 防火墙无法有效解决自身的安全问题 不能提供实时的攻击检测能力，防火墙只是按照固定的工作模式来防范已知的威胁 防火墙不能阻止来自内部的攻击,入侵检测概述,10,IDS置于防火墙与内部网之间,入侵检测概述,11,为什么需要入侵检测系统,入侵行为日益严重攻击工具唾手可得 入侵教程随处可见内部的非法访问内部网的攻击占总的攻击事件的70%以上没有监测的内部网是内部人员的“自由王国”边界防御的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止Internet上下载被病毒感染的程序,入侵检测概述,12,为什么需要入侵检测系统,如：穿透防火墙的攻击,client,.,入侵检测概述,13,一、入侵检测的概念及功能,入侵检测系统的发展历史入侵检测的作用入侵检测系统的功能,入侵检测概述,14,入侵检测系统的历史,1980年James P.Anderson 可以使用审计记录以标识误用 威胁分类的分类学 建议在审计子系统的基础上进行改进以检测误用,入侵检测概述,15,入侵检测系统的历史,1985 年SRI由美国海军（SPAWAR）资助以建立Intrusion Detection Expert System(IDES)入侵检测专家系统（IDES）的初步原型。第一个系统中同时使用了statistical and rule-based基于统计和基于规则的方法。,入侵检测概述,16,入侵检测系统的历史,1986 年Dorothy Denning发表了“An Intrusion-Detection Model-一个入侵检测的模型”，入侵检测领域开创性的工作。基本的行为分析机制。一些可能的实现系统的方法。,入侵检测概述,17,入侵检测系统的历史,1989 年Todd Heberlien，California,Davis大学的一个学生写了Network Security Monitor(NSM)网络安全监视器（NSM），系统设计用于捕获TCP/IP包并检测异构网络中的异常行动。网络入侵检测诞生,入侵检测概述,18,入侵检测系统的历史,1992 年计算机误用检测系统（CMDS）Computer Misuse Detection System(CMDS)Screen Application International Corporation(SAIC)基于在海军报告调查中完成的工作 Stalker（Haystack Labs.）基于为空军完成的原Haystack工作，第一个商业化的主机IDS，用于UNIX,入侵检测概述,19,入侵检测系统的历史,1994 年A group of researchers at the 空军加密支持中心（Air Force Cryptological Support Center）的一组研究人员创建了鲁棒的网络入侵检测系统，ASIM，广泛用于空军。来自于一家商业化公司 Wheelgroup的开发人员开始商业化网络入侵检测技术。,入侵检测概述,20,入侵检测系统的历史,1997 年 Cisco收购了 Wheelgroup并开始将网络入侵检测加入路由器中。Internet Security Systems发布了 Realsecure，Windows NT的网络入侵检测系统。开始了网络入侵检测的革命。,入侵检测概述,21,入侵检测系统的历史,1998 年 Centrax公司发布了 eNTrax，用于Windows NT的分布主机入侵检测系统 Centrax是由CMDS的开发人员组成，后来加入了建立Stalker的技术队伍。,入侵检测概述,22,入侵检测系统的历史,从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展,入侵检测概述,23,什么是入侵检测系统,对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,入侵 Intrusion,入侵检测 Intrusion Detection,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程,入侵检测系统（IDS）,用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,入侵检测概述,24,实时监控非法入侵的过程示意图,报警日志记录,攻击检测,记录入侵过程,重新配置防火墙路由器,内部入侵,入侵检测,记录,终止入侵,入侵检测概述,25,IDS监控非法入侵的案例,2001年4月，广东某ISP和某数据分局的网络系统受到入侵攻击。,入侵检测概述,26,从不知到有知,从被动到主动,从事后到事前,从预警到保障,入侵检测发挥的作用,入侵检测概述,27,从不知到有知,入侵检测发挥的作用,技术层面：对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。,入侵检测概述,28,入侵检测发挥的作用,管理层面：对安全管理人员来说，是可以把IDS做为其日常管理上的有效手段。,从被动到主动,入侵检测概述,29,入侵检测发挥的作用,领导层面：对安全主管领导来说，是可以把IDS做为把握全局一种有效的方法，目的是提高安全效能。,从事后到事前,入侵检测概述,30,入侵检测发挥的作用,意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。,从预警到保障,入侵检测概述,31,监控室=控制中心,入侵检测系统的作用,监控前门和保安,监控屋内人员,监控后门,监控楼外,入侵检测概述,32,入侵检测系统的功能,监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析，发现入侵行为的规律 操作系统审计跟踪管理，识别违反政策的用户活动 检查系统程序和数据的一致性与正确性,入侵检测概述,33,入侵检测的优点,提高信息安全构造的其他部分的完整性 提高系统的监控从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型，并向管理人员发出警报，进行防御,入侵检测概述,34,入侵检测的缺点,不能弥补差的认证机制 如果没有人的干预，不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击,入侵检测概述,35,二、入侵检测系统的分类,按数据检测方法分类按系统结构分类按时效性分类按照数据来源分类,入侵检测概述,36,入侵检测的分类（一）,异常检测模型（Anomaly Detection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,按照分析方法（检测方法）,入侵检测概述,37,入侵检测的分类（二）,集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行分布式：系统的各个模块分布在不同的计算机和设备上,按系统结构分类,入侵检测概述,38,离线入侵检测系统（off-line IDS）在线入侵检测系统（On-line IDS）,入侵检测的分类（三）,根据时效性分类,入侵检测概述,39,入侵检测系统分类(四),基于主机的入侵检测系统（HIDS）基于网络的入侵检测系统（NIDS）混合型入侵检测系统（Hybrid IDS）网络节点入侵检测系统（NNIDS）,按数据来源分类,入侵检测概述,40,主机IDS,定义运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理特点安装于被保护的主机中系统日志系统调用文件完整性检查主要分析主机内部活动占用一定的系统资源,入侵检测概述,41,主机IDS实现,分析处理,结果,入侵检测概述,42,主机IDS优势,精确地判断攻击行为是否成功。监控主机上特定用户活动、系统运行情况HIDS能够检测到NIDS无法检测的攻击 HIDS适用加密的和交换的环境。不需要额外的硬件设备。,入侵检测概述,43,主机IDS的劣势,HIDS对被保护主机的影响。HIDS的安全性受到宿主操作系统的限制。HIDS的数据源受到审计系统限制。被木马化的系统内核能够骗过HIDS。维护/升级不方便。,入侵检测概述,44,网络IDS,定义通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。特点安装在被保护的网段（通常是共享网络）中混杂模式监听分析网段中所有的数据包实时检测和响应,入侵检测概述,45,网络IDS实现,01 01 01 0101 01 01 01,收集,01 01 01 01 01 01 01 01 01 01 01 01,分析处理,结果,入侵检测概述,46,网络IDS优势,实时分析网络数据，检测网络系统的非法行为；网络IDS系统单独架设，不占用其它计算机系统的任何资源；网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。不会增加网络中主机的负担,入侵检测概述,47,网络IDS的劣势,不适合交换环境和高速环境不能处理加密数据资源及处理能力局限系统相关的脆弱性,入侵检测概述,48,混合IDS,基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。,入侵检测概述,49,三、入侵检测系统关键技术,数据检测技术,数据分析技术,数据采集技术,入侵检测概述,50,数据采集技术,高速网络线速采集Dedicated NIC DriverDMA-based zero copy包俘获包俘获库LibcapwindowsNT下Gobber、Ethdump和Ethload UNIX下CSPF、BPF基于流的包俘获主机信息采集应用程序日志 审计日志 网络端口的连接状况 系统文件,入侵检测概述,51,基于误用的检测方法基于异常的检测方法,数据检测技术,入侵检测概述,52,运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。也被称为违规检测(Misuse Detection)。检测准确度很高。,基于误用的检测方法,数据检测技术,入侵检测概述,53,专家系统模型匹配检测系统状态转换分析,数据检测技术,基于误用的检测方法,入侵检测概述,54,攻击信息使用的输入使用ifthen的语法。指示入侵的具体条件放在规则的左边（if侧），当满足这些规则时，规则执行右边（then侧）的动作。,专家系统,基于误用的检测方法,入侵检测概述,55,模式匹配检测,基于误用的检测方法,根据知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。,入侵检测概述,56,优点可检测出所有对系统来说是已知的入侵行为系统安全管理员能够很容易地知道系统遭受到的是那种入侵攻击并采取相应的行动局限：它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。系统运行的环境与知识库中关于攻击的知识有关。对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。,基于误用的检测方法,入侵检测概述,57,基于误用的检测方法基于异常的检测方法,数据检测技术,入侵检测概述,58,基本原理前提：入侵是异常活动的子集 用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程 监控 量化 比较 判定 修正指标:漏报率低,误报率高,基于异常的检测方法,数据检测技术,入侵检测概述,59,基于异常的检测方法,具体实现基于统计学方法的异常检测基于神经网络的异常检测基于数据挖掘的异常检测,入侵检测概述,60,记录的具体操作包括：CPU 的使用，I/O 的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。,基于异常的检测方法,基于统计学方法,操作密度审计记录分布范畴尺度数值尺度,入侵检测概述,61,基于异常的检测方法,基于神经网络,入侵检测概述,62,数据挖掘是指从大量实体数据抽象出模型的处理；目的是要从海量数据中提取对用户有用的数据；这些模型经常在数据中发现对其它检测方式不是很明显的异常。主要方法：聚类分析、连接分析和顺序分析。,基于异常的检测方法,基于数据挖掘技术的异常检测,入侵检测概述,63,基于异常的检测方法,优点不需要操作系统及其安全性缺陷专门知识能有效检测出冒充合法用户的入侵 缺点为用户建立正常行为模式的特征轮廓和对用户活动的异常性报警的门限值的确定都比较困难不是所有入侵者的行为都能够产生明显的异常性有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法。,入侵检测概述,64,数据分析技术,协议解析ACBM字符串匹配正则表达式事件规则树有限状态自动机完整性分析,入侵检测概述,65,数据分析技术,协议分析与解码,ETHER,ARP,IP,RARP,ICMP,IGMP,TCP,UDP,POP3,FTP,HTTP,。,DNS,入侵检测概述,66,匹配规则子集,ETHER,ARP,IP,RARP,ICMP,IGMP,TCP,UDP,POP3,FTP,HTTP,。,DNS,入侵检测概述,67,协议分析的优点,提高了性能提高了准确性基于状态的分析反规避能力系统资源开销小,入侵检测概述,68,四、入侵检测系统部署方式,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现（SPAN/Port Monitor）,入侵检测概述,69,四、入侵检测系统部署方式,检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网,入侵检测概述,70,Internet,检测器部署示意图,部署一,部署二,部署三,部署四,入侵检测概述,71,IPS的部署与安全策略应用,研发,财经,市场,DMZ区,SMTP,POP3,WEB,ERP,OA,CRM,数据中心,IPS旁路部署在DMZ区，交换机将进出DMZ区的流量镜像到IPS，可以检测来自Internet的针对DMZ区服务器的应用层攻击检测来自Internet的DDoS攻击,IPS部署在数据中心：抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器最大正常运行时间基于服务的带宽管理,IPS部署在内部局域网段之间，可以抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击,分支机构,分支机构,分支机构,IPS部署在广域网边界：抵御来自分支机构攻击保护广域网线路带宽,IPS部署在外网Internet边界，放在防火墙前面，可以保护防火墙等网络基础设施对Internet出口带宽进行精细控制，防止带宽滥用URL过滤，过滤敏感网页,入侵检测概述,72,五、入侵检测的响应与恢复,入侵检测的归宿应是有效反击,入侵检测概述,73,五、入侵检测的响应与恢复,实时响应,当事件出现时显示攻击的特征信息重新配置防火墙 阻塞特定的TCP连接邮件，传真，电话提示管理员 启动其它程序来阻止攻击 SNMP陷阱生成报告,入侵检测概述,74,五、入侵检测的响应与恢复,应急响应案例,q 2003 年1 月25 日中午12 点，全国各ISP 遭到攻击q 接到ISP 的报告q 分析确认是一种新型的蠕虫攻击q 进入应急响应状态q 国内第一个抓到该蠕虫的特征，升级入侵检测事件库q 马上通知CNCERT，在国际出入口进行封堵q 通过信息产业部通知大家进行差杀，并在入侵检测产品上监测其事件变化。q 最后，韩国、美国遭受很大损失，而我国各大ISP 基本运行正常,入侵检测概述,75,五、入侵检测的响应与恢复,静态响应,模式匹配统计分析文件对象完整性分析系统的全面扫描 证据搜寻,入侵检测概述,76,五、入侵检测的响应与恢复,文件完整性检查系统的优点,从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。文件完整性检查系统具有相当大的灵活性，可以配置成为监测系统中所有文件或某些重要文件。当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。,入侵检测概述,77,五、入侵检测的响应与恢复,文件完整性检查系统的弱点,文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。做一次完整的文件完整性检查是一个非常耗时的工作，在Tripwire中，在需要时可选择检查某些系统特性而不是完全的摘要，从而加快检查速度。系统有些正常的更新操作可能会带来大量的文件更新，从而产生比较繁杂的检查与分析工作，如，在Windows NT系统中升级MS-Outlook将会带来1800多个文件变化。,入侵检测概述,78,六、入侵检测技术发展方向,入侵或攻击的综合化与复杂化入侵主体对象的间接化 入侵或攻击的规模扩大 入侵或攻击技术的分布化 攻击对象的转移,分布式入侵检测智能化入侵检测 全面的安全防御方案,入侵检测概述,79,响应协同,理想的情况是，建立相关安全产品能够相互通信并协同工作的安全体系，实现防火墙、IDS、病毒防护系统和审计系统等的互通与联动，以实现整体安全防护,响应协同：当IDS检测到需要阻断的入侵行为时，立即迅速启动联动机制，自动通知防火墙或其他安全控制设备对攻击源进行封堵，达到整体安全控制的效果。,IDS与防火墙的联动，可封堵源自外部网络的攻击 IDS与网络管理系统的联动，可封堵被利用的网络设备和主机 IDS与操作系统的联动，可封堵有恶意的用户账号 IDS与内网监控管理系统的联动，可封堵内部网络上恶意的主机,入侵检测概述,80,IDS与Firewall联动,通过在防火墙中驻留的一个IDS Agent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动,Cisco CIDF(CISL)ISS Checkpoint,入侵检测概述,81,IDS相关产品（NIDS）安氏、启明星辰、金诺网安、联想、东软、绿盟科技、中科网威、思科、CA,入侵检测系统相关产品,入侵检测概述,82,安氏产品名称：领信IDS主要产品：2600型Professional系列、1600型Professional系列、200型Professional系列、100型Professional系列公司网址：,IDS相关产品（NIDS）,入侵检测概述,83,安氏优点：基于状态保持的应用协议分析技术；支持取证和分析功能缺点：支持的攻击特征数少（1200）；病毒蠕虫检测能力弱；升级更新周期长（平均每两周更新一次）,IDS相关产品（NIDS）,入侵检测概述,84,启明星辰产品名称：天阗主要产品：天阗S1100、天阗S500、天阗S120、天阗S220、天阗S320、天阗S420、天阗S520、天阗NS500、天阗 NS 2800 公司网址：,IDS相关产品（NIDS）,入侵检测概述,85,启明星辰优点：误报率低；攻击特征数有2600多种；运行和天镜扫描器联动缺点：管理和控制端口采用私有协议，存在安全隐患；实时监控能力弱，不能监视网络流量，实时会话；对系统资源监控能力弱，仅支持有限层的级联部署；对病毒蠕虫检测能力弱,IDS相关产品（NIDS）,入侵检测概述,86,金诺网安产品名称：金诺网安主要产品：KIDS 1250-1700-TX、KIDS-SW100-L1、金诺网安V8.2B 公司网址：,IDS相关产品（NIDS）,入侵检测概述,87,金诺网安优点：系统存储于光盘，稳定性好；支持和榕基扫描器联动缺点：不提供报文回放，误报率高；无病毒蠕虫检测能力，不支持智能协议分析；异常检测能力差；不提供基于状态的检测,IDS相关产品（NIDS）,入侵检测概述,88,联想产品名称：联想网御IDS主要产品：网御IDS N800、网御IDS N2000、网御IDS N5000、网御IDS N200 公司网址：,IDS相关产品（NIDS）,入侵检测概述,89,联想优点：基于硬件的管理员身份认证；支持IDS和IPS双模式检测缺点：支持的攻击特数少（1500）；N200和N2000管理方法和特征库不兼容；支持定制报表数量少,IDS相关产品（NIDS）,入侵检测概述,90,东软优点：系统集成扫描器；监控的TCP连接数多缺点：阻断连接方面功能欠缺；攻击特征数少（1500）；不支持千兆高端，不支持病毒蠕虫检测,IDS相关产品（NIDS）,入侵检测概述,91,绿盟科技产品名称：冰之眼主要产品：200系列、600系列、1200系列等公司网址：,IDS相关产品（NIDS）,入侵检测概述,92,绿盟科技优点：支持较多的应用层协议；升级更新速度快（重大安全问题3日内）；多点备份，多监听接口缺点：产品功能简单；不支持病毒蠕虫检测,IDS相关产品（NIDS）,入侵检测概述,93,中科网威产品名称：天眼IDS主要产品：NPIDS-N-HP-SB、NPIDS-N-HP-GB公司网址：,IDS相关产品（NIDS）,入侵检测概述,94,中科网威优点：使用浏览器就可以访问控制台缺点：攻击特征数少；升级支持不到位；IP碎片生组能力差；不支持病毒蠕虫检测,IDS相关产品（NIDS）,入侵检测概述,95,思科产品名称：Cisco IDS主要产品：4200系列设备检测器：4210、4235、4250；Cisco Catalyst 6500系列（IDSM-2）服务模块公司网址：www.,IDS相关产品（NIDS）,入侵检测概述,96,思科优点：针对6500服务器的专用模块；具有启发式检测功能缺点：攻击特征数少（1000）；升级周期（每月更新）；管理界面差，不符合国人使用习惯；各方面功能少，不具备实时监控能力,IDS相关产品（NIDS）,入侵检测概述,97,CA产品名称：eTrust IDS主要产品：eTrust IDS公司网址：www.ca-,IDS相关产品（NIDS）,入侵检测概述,98,CA优点：可以检测/阻止包含病毒的网络数据流；支持URL/关键字过滤缺点：攻击特征数少；性能较差,IDS相关产品（NIDS）,入侵检测概述,99,IDS面临的挑战误报是指被入侵检测系统报警的是正常及合法使用受保护网络和计算机的访问一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击,入侵检测系统相关产品,入侵检测概述,100,IDS面临的挑战误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉,入侵检测系统相关产品,入侵检测概述,101,IDS面临的挑战误报的原因是：缺乏共享数据的机制；缺乏集中协调的机制；缺乏揣摩数据在一段时间内变化的能力；缺乏有效的跟踪分析,入侵检测系统相关产品,入侵检测概述,102,资源,IDS FAQhttp:/pubs/Focus-IDS MailinglistYawlhttp:/OldHandhttp:/Sinbadhttp:/=IDS,入侵检测概述,103,作 业,网络安全界比较知名的国内公司网络安全界的名人（国内外均可）我国目前在网络安全方面同国际相比的状况,