第一章 入侵檢測(cè)系統(tǒng)概念
當(dāng)越來(lái)越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時(shí)候，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問(wèn)題呈現(xiàn)在人們面前。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線(xiàn)。而隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無(wú)法滿(mǎn)足對(duì)安全高度敏感的部門(mén)的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時(shí)，當(dāng)今的網(wǎng)絡(luò)環(huán)境也變得越來(lái)越復(fù)雜，各式各樣的復(fù)雜的設(shè)備，需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患。在這種環(huán)境下，入侵檢測(cè)系統(tǒng)成為了安全市場(chǎng)上新的熱點(diǎn)，不僅愈來(lái)愈多的受到人們的關(guān)注，而且已經(jīng)開(kāi)始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。
本文中的“入侵”（Intrusion）是個(gè)廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問(wèn)（Denial of Service）等對(duì)計(jì)算機(jī)系統(tǒng)造成危害的行為。
入侵檢測(cè)（Intrusion Detection），顧名思義，便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System,簡(jiǎn)稱(chēng)IDS）。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。
具體說(shuō)來(lái)，入侵檢測(cè)系統(tǒng)的主要功能有（[2]）：
a.監(jiān)測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)；
b.核查系統(tǒng)配置和漏洞；
c.評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；
d.識(shí)別已知的攻擊行為；
e.統(tǒng)計(jì)分析異常行為；
f.操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶(hù)活動(dòng)。
由于入侵檢測(cè)系統(tǒng)的市場(chǎng)在近幾年中飛速發(fā)展，許多公司投入到這一領(lǐng)域上來(lái)。除了國(guó)外的ISS、axent、NFR、cisco等公司外，國(guó)內(nèi)也有數(shù)家公司（如中聯(lián)綠盟，中科網(wǎng)威等）推出了自己相應(yīng)的產(chǎn)品。但就目前而言，入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)。目前，試圖對(duì)IDS進(jìn)行標(biāo)準(zhǔn)化的工作有兩個(gè)組織：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但進(jìn)展非常緩慢，尚沒(méi)有被廣泛接收的標(biāo)準(zhǔn)出臺(tái)。
第二章 入侵檢測(cè)系統(tǒng)模型
2.1 CIDF模型
Common Intrusion Detection Framework (CIDF)（http://www.gidos.org/）闡述了一個(gè)入侵檢測(cè)系統(tǒng)（IDS）的通用模型。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：
l事件產(chǎn)生器（Event generators）
l 事件分析器（Event analyzers
l 響應(yīng)單元（Response units ）
l　事件數(shù)據(jù)庫(kù)（Event databases ）
CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱(chēng)為事件（event）,它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。
事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。
在這個(gè)模型中，前三者以程序的形式出現(xiàn)，而最后一個(gè)則往往是文件或數(shù)據(jù)流的形式。
在其他文章中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和控制臺(tái)部分來(lái)分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語(yǔ)。且常用日志來(lái)簡(jiǎn)單的指代事件數(shù)據(jù)庫(kù)。如不特別指明，本文中兩套術(shù)語(yǔ)意義相同。
2.2 IDS分類(lèi)
一般來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。
主機(jī)型入侵檢測(cè)系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過(guò)其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。
網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式（promisc mode）,監(jiān)聽(tīng)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。
不難看出，網(wǎng)絡(luò)型IDS的優(yōu)點(diǎn)主要是簡(jiǎn)便：一個(gè)網(wǎng)段上只需安裝一個(gè)或幾個(gè)這樣的系統(tǒng)，便可以監(jiān)測(cè)整個(gè)網(wǎng)段的情況。且由于往往分出單獨(dú)的計(jì)算機(jī)做這種應(yīng)用，不會(huì)給運(yùn)行關(guān)鍵業(yè)務(wù)的主機(jī)帶來(lái)負(fù)載上的增加。但由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正受到越來(lái)越大的挑戰(zhàn)。一個(gè)典型的例子便是交換式以太網(wǎng)。
而盡管主機(jī)型IDS的缺點(diǎn)顯而易見(jiàn)：必須為不同平臺(tái)開(kāi)發(fā)不同的程序、增加系統(tǒng)負(fù)荷、所需安裝數(shù)量眾多等，但是內(nèi)在結(jié)構(gòu)卻沒(méi)有任何束縛，同時(shí)可以利用操作系統(tǒng)本身提供的功能、并結(jié)合異常分析，更準(zhǔn)確的報(bào)告攻擊行為。參考文獻(xiàn)[7]對(duì)此做了描述，感興趣的讀者可參看。
入侵檢測(cè)系統(tǒng)的幾個(gè)部件往往位于不同的主機(jī)上。一般來(lái)說(shuō)會(huì)有三臺(tái)機(jī)器，分別運(yùn)行事件產(chǎn)生器、事件分析器和響應(yīng)單元。在安裝IDS的時(shí)候，關(guān)鍵是選擇數(shù)據(jù)采集部分所在的位置，因?yàn)樗鼪Q定了“事件”的可見(jiàn)度。
對(duì)于主機(jī)型IDS，其數(shù)據(jù)采集部分當(dāng)然位于其所監(jiān)測(cè)的主機(jī)上。
對(duì)于網(wǎng)絡(luò)型IDS，其數(shù)據(jù)采集部分則有多種可能：
（1）如果網(wǎng)段用總線(xiàn)式的集線(xiàn)器相連，則可將其簡(jiǎn)單的接在集線(xiàn)器的一個(gè)端口上即可；
（2）對(duì)于交換式以太網(wǎng)交換機(jī)，問(wèn)題則會(huì)變得復(fù)雜。由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個(gè)sniffer來(lái)監(jiān)聽(tīng)整個(gè)子網(wǎng)的辦法不再可行。可解決的辦法有：
a.交換機(jī)的核心芯片上一般有一個(gè)用于調(diào)試的端口（span port），任何其他端口的進(jìn)出信息都可從此得到。如果交換機(jī)廠商把此端口開(kāi)放出來(lái)，用戶(hù)可將IDS系統(tǒng)接到此端口上。
優(yōu)點(diǎn)：無(wú)需改變IDS體系結(jié)構(gòu)。
缺點(diǎn)：采用此端口會(huì)降低交換機(jī)性能。
b.把入侵檢測(cè)系統(tǒng)放在交換機(jī)內(nèi)部或防火墻內(nèi)部等數(shù)據(jù)流的關(guān)鍵入口、出口。
優(yōu)點(diǎn)：可得到幾乎所有關(guān)鍵數(shù)據(jù)。
缺點(diǎn)：必須與其他廠商緊密合作，且會(huì)降低網(wǎng)絡(luò)性能。
c.采用分接器（Tap），將其接在所有要監(jiān)測(cè)的線(xiàn)路上。
優(yōu)點(diǎn)：再不降低網(wǎng)絡(luò)性能的前提下收集了所需的信息。
缺點(diǎn)：必須購(gòu)買(mǎi)額外的設(shè)備(Tap)；若所保護(hù)的資源眾多，IDS必須配備眾多網(wǎng)絡(luò)接口。
d.可能唯一在理論上沒(méi)有限制的辦法就是采用主機(jī)型IDS。
2.3 通信協(xié)議
IDS系統(tǒng)組件之間需要通信，不同的廠商的IDS系統(tǒng)之間也需要通信。因此，定義統(tǒng)一的協(xié)議，使各部分能夠根據(jù)協(xié)議所致訂的的標(biāo)準(zhǔn)進(jìn)行溝通是很有必要的。
IETF目前有一個(gè)專(zhuān)門(mén)的小組Intrusion Detection Working Group (idwg)負(fù)責(zé)定義這種通信
格式，稱(chēng)作Intrusion Detection Exchange Format。目前只有相關(guān)的草案（internet draft），并未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統(tǒng)之間的通信提供了一定的指引。
IAP(Intrusion Alert Protocol)是idwg制定的、運(yùn)行于TCP之上的應(yīng)用層協(xié)議，其設(shè)計(jì)在很大程度上參考了HTTP，但補(bǔ)充了許多其他功能（如可從任意端發(fā)起連接，結(jié)合了加密、身份驗(yàn)證等）。對(duì)于IAP的具體實(shí)現(xiàn)，請(qǐng)參看 [9]，其中給出了非常詳盡的說(shuō)明。這里我們主要討論一下設(shè)計(jì)一個(gè)入侵檢測(cè)系統(tǒng)通信協(xié)議時(shí)應(yīng)考慮的問(wèn)題：
1．　分析系統(tǒng)與控制系統(tǒng)之間傳輸?shù)男畔⑹欠浅Ｖ匾男畔ⅲ虼吮仨氁３謹(jǐn)?shù)據(jù)的真實(shí)性和完整性。必須有一定的機(jī)制進(jìn)行通信雙方的身份驗(yàn)證和保密傳輸（同時(shí)防止主動(dòng)和被動(dòng)攻擊）。
2. 通信的雙方均有可能因異常情況而導(dǎo)致通信中斷，IDS系統(tǒng)必須有額外措施保證系統(tǒng)正常工作。
2.4入侵檢測(cè)技術(shù)
對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類(lèi)：一種基于標(biāo)志（signature-based），另一種基于異常情況(anomaly-based)。
對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類(lèi)特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類(lèi)似殺毒軟件。
而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正常”情況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類(lèi)數(shù)據(jù)可以人為定義，也可以通過(guò)觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正常”情況。
兩種檢測(cè)技術(shù)的方法、所得出的結(jié)論有非常大的差異。基于異常的檢測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫(kù)。對(duì)于已知得攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告報(bào)告出攻擊類(lèi)型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫(kù)必須不斷更新。基于異常的檢測(cè)技術(shù)則無(wú)法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺(jué)的攻擊。
如果條件允許，兩者結(jié)合的檢測(cè)會(huì)達(dá)到更好的效果。
第四章 存在的問(wèn)題
盡管有眾多的商業(yè)產(chǎn)品出現(xiàn)，與諸如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測(cè)系統(tǒng)還存在相當(dāng)多的問(wèn)題。這一章我們便要討論一下對(duì)其進(jìn)行威脅的主要因素，值得注意的是，這些問(wèn)題大多是目前入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)所難以克服的（包括waRcher），而且這些矛盾可能越來(lái)越尖銳。
以下便是對(duì)入侵檢測(cè)產(chǎn)品提出挑戰(zhàn)的主要因素[3]：
1.攻擊者不斷增加的知識(shí)，日趨成熟多樣自動(dòng)化工具，以及越來(lái)越復(fù)雜細(xì)致的攻擊手法。
下圖是CERT每年處理的安全事件（縱坐標(biāo)）的統(tǒng)計(jì)：
不難看出，安全問(wèn)題正日漸突出，尤其是2000年初出現(xiàn)了對(duì)諸如Yahoo，ebay等著名ICP的攻擊事件。IDS必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。
2.惡意信息采用加密的方法傳輸。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，IDS往往假設(shè)攻擊信息是通過(guò)明文傳輸?shù)模虼藢?duì)信息的稍加改變便可能騙過(guò)IDS的檢測(cè)。TFN現(xiàn)在便已經(jīng)通過(guò)加密的方法傳輸控制信息。還有許多系統(tǒng)通過(guò)VPN（虛擬專(zhuān)用網(wǎng)）進(jìn)行網(wǎng)絡(luò)之間的互聯(lián)，如果IDS不了解其所用的隧道機(jī)制，會(huì)出現(xiàn)大量的誤報(bào)和漏報(bào)。
3.必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。
網(wǎng)絡(luò)及其中的設(shè)備越來(lái)越多樣化，即存在關(guān)鍵資源如郵件服務(wù)器、企業(yè)數(shù)據(jù)庫(kù)，也存在眾多相對(duì)不是很重要的PC機(jī)。不同企業(yè)之間這種情況也往往不盡相同。IDS要能有所定制以更適應(yīng)多樣的環(huán)境要求。
4.不斷增大的網(wǎng)絡(luò)流量。
用戶(hù)往往要求IDS盡可能快的報(bào)警，因此需要對(duì)獲得的數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析，這導(dǎo)致對(duì)所在系統(tǒng)的要求越來(lái)越高，商業(yè)產(chǎn)品一般都建議采用當(dāng)前最好的硬件環(huán)境（如NFR5.0要求主頻最少700以上的機(jī)器）。盡管如此，對(duì)百兆以上的流量，單一的IDS系統(tǒng)仍很難應(yīng)付。可以想見(jiàn)，隨著網(wǎng)絡(luò)流量的進(jìn)一步加大（許多大型ICP目前都有數(shù)百兆的帶寬），對(duì)IDS將提出更大的挑戰(zhàn)，在PC機(jī)上運(yùn)行純軟件系統(tǒng)的方式需要突破。
5.廣泛接受的術(shù)語(yǔ)和概念框架的缺乏。
入侵檢測(cè)系統(tǒng)的廠家基本處于各自為戰(zhàn)的情況，標(biāo)準(zhǔn)的缺乏使得其間的互通幾乎不可能。
6.不斷變化的入侵檢測(cè)市場(chǎng)給購(gòu)買(mǎi)、維護(hù)IDS造成的困難。
入侵檢測(cè)系統(tǒng)是一項(xiàng)新生事物，隨著技術(shù)水平的上升和對(duì)新攻擊的識(shí)別的增加，IDS需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性，而不同廠家之間的產(chǎn)品在升級(jí)周期、升級(jí)手段上均有很大差別。因此用戶(hù)在購(gòu)買(mǎi)時(shí)很難做出決定，同時(shí)維護(hù)時(shí)也往處于很被動(dòng)的局面。
7.采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)所造成的風(fēng)險(xiǎn)。
入侵檢測(cè)系統(tǒng)可以很容易的與防火墻結(jié)合，當(dāng)發(fā)現(xiàn)有攻擊行為時(shí)，過(guò)濾掉所有來(lái)自攻擊者的IP的數(shù)據(jù)。但是，不恰當(dāng)?shù)姆磻?yīng)很容易帶來(lái)新的問(wèn)題，一個(gè)典型的例子便是：攻擊者假冒大量不同的IP進(jìn)行模擬攻擊，而IDS系統(tǒng)自動(dòng)配置防火墻將這些實(shí)際上并沒(méi)有進(jìn)行任何攻擊的地址都過(guò)濾掉，于是形成了新的拒絕訪問(wèn)攻擊（DOS）。
8.對(duì)IDS自身的攻擊。
和其他系統(tǒng)一樣，IDS本身也往往存在安全漏洞。如果查詢(xún)bugtraq的郵件列表，諸如Axent NetProwler,NFR,ISS Realsecure等知名產(chǎn)品都有漏洞被發(fā)覺(jué)出來(lái)。若對(duì)IDS攻擊成功，則直接導(dǎo)致其報(bào)警失靈，入侵者在其后所作的行為將無(wú)法被記錄。（這也是為什么安全防衛(wèi)必須多樣化的原因之一。）
9.大量的誤報(bào)和漏報(bào)使得發(fā)現(xiàn)問(wèn)題的真正所在非常困難。
采用當(dāng)前的技術(shù)及模型，完美的入侵檢測(cè)系統(tǒng)無(wú)法實(shí)現(xiàn)。參考文獻(xiàn)[1]中提到了若干種逃避IDS檢測(cè)的辦法，這種現(xiàn)象存在的主要原因是：
IDS必須清楚的了解所有操作系統(tǒng)網(wǎng)絡(luò)協(xié)議的運(yùn)作情況，甚至細(xì)節(jié)，才能準(zhǔn)確的進(jìn)行分析，否則[1]中提到的insertion,evasion的問(wèn)題便無(wú)法解決。而不同操作系統(tǒng)之間，甚至同一操作系統(tǒng)的不同版本之間對(duì)協(xié)議處理的細(xì)節(jié)均有所不同。而力求全面則必然違背IDS高效工作的原則。
10.客觀的評(píng)估與測(cè)試信息的缺乏。
11.交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見(jiàn)性下降，同時(shí)更快的網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析越發(fā)困難。
第四章 結(jié)論
未來(lái)的入侵檢測(cè)系統(tǒng)將會(huì)結(jié)合其它網(wǎng)絡(luò)管理軟件，形成入侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。強(qiáng)大的入侵檢測(cè)軟件的出現(xiàn)極大的方便了網(wǎng)絡(luò)的管理，其實(shí)時(shí)報(bào)警為網(wǎng)絡(luò)安全增加了又一道保障。盡管在技術(shù)上仍有許多未克服的問(wèn)題，但正如攻擊技術(shù)不斷發(fā)展一樣，入侵的檢測(cè)也會(huì)不斷更新、成熟。同時(shí)，正如本文一開(kāi)始便提到的，網(wǎng)絡(luò)安全需要縱深的、多樣的防護(hù)。即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng)，如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話(huà)，安全也無(wú)從談起。
參考文獻(xiàn)
[1]《Insertion, Evasion, and Denial of Service:Eluding Network Intrusion Detecti
on》
Thomas H. Ptacektqbf@securenetworks.com
Timothy N. Newsham　newsham@securenetworks.com
Secure Networks, Inc.
January, 1998
[2]《An Introduction to Intrusion Detection& ASSESSMENT》
ICSA, Inc.
[3]《State of the Practice of Intrusion Detection　Technologies》
Julia Allen， Alan Christie， William Fithen， John McHugh，Jed Pickel ，
Ed Stoner等
January 2000
[4]《IDS Buyer’s Guide》
ICSA lab
[5]《IDS FAQ》
Robert Graham (nids-faq@RobertGraham.com)
March 21, 2000
[6]《Network Based Intrusion Detection-A review of technologies》
DENMAC SYSTEMS, INC
NOVEMBER 1999
[7]《Next Generation Intrusion Detection in High-Speed Networks》
Network Associates
[8]《Intrusion Detection Message Exchange Requirements》
Internet-Draft　Internet Engineering Task Force
Wood, M.　 Internet Security Systems
October, 1999
[9]《Intrusion Alert Protocol - IAP》
Internet DraftInternet Engineering Task Force
Gupta　Hewlett-Packard
March 31, 2000
[10]《Building Into The Linux Network Layer 》
kossak , lifeline
Phrack Magazine　Vol. 9 , Issue 55 , 09.09.99 , 12 of 19
[11]《Watcher》
hyperion 〈hyperion@hacklab.com〉
Phrack Magazine　 Volume 8, Issue 53 July 8, 1998, article 11 of 15
[12]《Designing and Attacking Port Scan Detection Tools》
solar designer 〈solar@false.com〉
Phrack Magazine　 Volume 8, Issue 53 July 8, 1998, article 13 of 15
[13]《The Art of Port Scanning》
Fyodor 〈fyodor@dhp.com〉
Phrack Magazine　 Volume 7, Issue 51 September 01, 1997, article 11 of 17
[14]《Remote OS detection via TCP/IP Stack FingerPrinting》
Fyodor (www.insecure.org)
October 18, 1998
[15]《UNIX network programming》
W.Richard Stevens
ISBN 7-302-02942-3
[16]《Developing linux application with GTK+ and GDK》
Eric Harlow
ISBN 7-5053-5680-1
[17] 《The Common Intrusion Detection Framework Architecture》
Phil Porras, SRI
Dan Schnackenberg, Boeing
Stuart Staniford-Chen, UC
Davis, editor
Maureen Stillman, Oddysey Research
Felix Wu, NCSU
[18]《 A Common Intrusion Detection Framework》
Clifford Kahn, Phillip A. Porras ,Stuart Staniford-Chen ,Brian Tung
15 July 1998
原作者：yawl