式入侵检测系统（ＤＩＤＳ）。

     网络入侵检测系统对所有流经监测代理的网络通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。

     基于主机的入侵检测系统从主机的审计记录和同志文件中获得主要的数据源，并辅助以主机上的其他信息，例如文件系统属性、进程状态、ＣＰＵ和内存使用状态等，通过对采集的数据的分析，检测出攻击行为。

     典型的分布式入侵检测系统是管理端／探测器结构。

    ＮＩＤＳ作为探测器放置在网络的各个地方，并向中央管理平台汇报情况。

    攻击日志定时地传送到管理平台并保存在中央数据库中，新的攻击特征库能发到各个探测器上。

    每个探测器能根据所在的网络需要配置不同的规则集。

     根据检测方法分类，传统的观点是将其分为误用（Ｍｉｓｕｓｅ）和异常（Ａｎｏｍａｌｙ）两种，分别建立了误用检测模型和异常检测模型。

     ｌ、 异常检测模型（Ａｎｏｍａｌｙ Ｄｅｔｅｃｔｉｏｎ Ｍｏｄｅｌ） 异常检测也被称为基于行为的检测，指根据用户的行为或资源的使用情况来判断是否有入侵的行为发生。

    基于行为的检测与系统相对无关，通用性较强，可以检测出以Ｉ；｛『未出现的攻击行为 检测与可接受行为之间的偏差。

    如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。

    首先总结正常操作应该具有的特征（用户轮廓）， 北京交通大学硕士学位论文 入侵检测与Ｗｗｗ服务器防护当用户活动与正常行为有重大偏离时即被认为是入侵。

    这种检测模型漏报率低，误报率高。

    因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

     由于不可能对系统内所有用户的行为作出全面精确的描述，并且用户的行为是经常改变的，所以异常检测具有误报率较高的缺点。

     ２、误用检测模型（Ｍｉｓｕｓｅ Ｄｅｔｅｃｔｉｏｎ Ｍｏｄｅｌ） 检测与已知的不可接受行为之问的匹配程度。

    如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。

    收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

    这种检测模型误报率低、漏报率高。

    对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

     误用检测技术的优点是能够针对入侵行为构造有效的检测系统，其准确度较高，但是只能检测已知的入侵行为，不能检测未知的行为和已知行为的变种。

    误用检测的关键是入侵行为的表达和攻击签名的构造。

     目前ＷＥＢ防护中采用的入侵检测系统绝大多数采用的是误用型检测模型。

    Ｓｎｏｒｔ是一个丌源的误用型网络入侵检测系统，给我们提供了一个非常优秀的公丌源代码的入侵检测系统范例。

    我们可以通过对其代码的分析，搞清ＩＤＳ究竟是如何工作的，并在此基础上根据所设计系统的需要添加自己的想法。

    下面我们对Ｓｎｏｒｔ系统丌展研究。

    ２．２ Ｓｎｏｒｔ检测引擎的研究 Ｓｎｏｒｔ是一个开放源代码的网络入侵检测系统，由Ｍａｒｔｉｎ Ｒｏｅｓｃｈ编写，并由世界各地的程序员共同维护和升级。

    Ｓｎｏｒｔ是一个基于Ｗｉｎｐｃａｐ数据包嗅探器的优秀的轻量级网络入侵检测系统。

    所谓“轻量级”是指检测时尽可能低地影响网络的操作。

    它的工作原理是：在共享的网络上监测原始的网络数据，通过分析截获的数掘包判断是否有入侵行为发生。

    从检测技术上讲，Ｓｎｏｒｔ属于误用检测。

    它采用基于规则的方式，将数据包内容进行规则匹配来判断是否有攻击行为发生。

    Ｓｎｏｒｔ具有实时报警功能。

    系统采用命令行丌关选项的方式进行配置。

    系统检测引擎采用一种简单的规则语言‘进行编程，用于描述对每一个数据包进行的测试和对应的相应动作Ⅲ。

     ６ 北京.