IDS的基本功能有哪些？

1、从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2、经过分析得到数据，并产生分析结果。

3、对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

IDS系统缺陷

1998年2月，Secure Networks Inc指出IDS有许多弱点，主要为：IDS对数据的检测；对IDS自身攻击的防护。由于当代网络发展迅速，网络传输速率大大加快，这造成了IDS工作的很大负担，也意味着IDS对攻击活动检测的可靠性不高。

而IDS在应对自身的攻击时，对其他传输的检测也会被抑制。同时由于模式识别技术的不完善，IDS的高虚警率也是它的一大问题。

四层模型与OSI模型区别与联系
1、TCP/IP四层模型: 1链路层(数据链路层/网络接口层):包括 *** 作系统中的设备驱动程序、计算机中对应的网络接口卡 2网络层(互联网层):处理分组在网络中的活动,比如分组的选路。 3运输层:主要为两台主机上的应用提供端到端的通信。 4应用层:负责处理特定的

误用入侵检测的主要假设是所有的入侵行为都有可被检测到的特征。误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生情况进行模式匹配来检测。入侵模式说明了那些导致入侵的事件中的特征、条件、排列和关系。误用入侵检测技术的优点是：

只需收集相关的数据，减少了系统的负担；该方法类似于病毒检测系统，监测的准确率和效率都比较高；技术比较成熟，国际上一些知名的入侵检测系统都采用该技术。

误用入侵检测技术的局限性是：

不能检测未知的入侵行为，漏报率比较高；与系统的相关性很强，不同 *** 作系统的实现机制是不同的，攻击方法也不相同，因此很难定义出统一的模式库。

模式构造有多种方式，下面分析不同的误用检测方法。

条件概率误用入侵检测方法

条件概率误用入侵检测方法将入侵方式对应于一个事件序列，然后通过观测到事件发生情况来推测入侵出现。这种方法的依据是外部事件序列,根据贝叶斯定理进行推理检测入侵。令ES 表示事件序列, 表示入侵发生的概率，是先验概率表示在事件ES发生的条件下入侵发生的概率，根据贝叶斯定理可知：

条件概率误用入侵检测方法是在概率理论基础上的一个普遍的方法。它是对贝叶斯方法的改进，其缺点就是先验概率难以给出，而且事件的独立性难以满足。

专家系统误用入侵检测方法

专家系统误用入侵检测方法是通过将安全专家的知识表示成IF-THEN规则形成专家知识库，然后输入检测数据，系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为模式。用来表示攻击发生的条件排列在规则的左边（if部分），当条件满足时，系统采取规则右边所给出的动作。专家系统的优点是把系统的推理控制过程和问题的最终解答相分离，即用户不需要理解或干预专家系统内部的推理过程，只须把专家系统看作是一个自治的黑盒。许多经典的检测模型都采用这种方法。美国国家航空和宇宙航行局开发的CLIPS系统是一实例。专家系统在实际应用中存在的问题是：

缺乏处理序列数据的能力，即数据前后的相关性问题；无法处理判断的不确定性；维护专家规则库是一件很困难的事情，无论添加还是删除某一条规则都必须考虑对其他规则的影响。
状态迁移分析误用入侵检测方法

状态迁移分析方法是将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的条件断言（事件）。攻击者获得的权限或者攻击成功的结果都可以表示为系统的状态。状态转移图是一种针对入侵或渗透过程的图形化表示方法。在下图中，节点表示系统的状态，弧线表示每一次状态的改变。采用这种方法的系统有STAT 和在UNIX平台上实现的USTAT。状态迁移分析方法在实际应用中存在的问题是：

攻击模式只能说明事件序列，因此不允许更复杂的说明事件的方法除了通过植入模型的原始的断言，没有通用的方法来解除部分攻击匹配。
模型推理误用入侵检测方法模型推理误用入侵检测方法是通过建立误用证据模型，在此基础上对某些行为活动进行监视，并推理是否发生了入侵行为。模型推理检测系统主要由三个组件构成：
先知模块：根据当前行为模型和一些特殊情况模型，预测下一阶段可能发生的某些特殊情况，并把它们传递给计划模块。
计划模块：把先知模块的假设转化成一种可以与审计事件活动相匹配的格式，这样它就可以计划下一步主要寻找什么样的数据，把搜寻的目标通知给解释模块。
解释模块：对审计数据进行分析，寻找计划模块计划出的数据。模型推理系统的检测过程就是一个按照这三个模块不断循环前进的过程。
模型推理误用入侵检测方法的优点是：推理过程有比较合理的数学理论基础，与专家系统相比，在处理不确定性方面能力较强；模型推理系统可以利用入侵模型推导出攻击者下一步行动，这样可采取一些预防性措施。

层级架构与六域模型的比较物联网层级架构的提出,实际上是受互联网开放 系统互连参考模型(Open System Interconnect,OSI) 的影响。联合制定的开放系统互连参考模型，为开放式互连信息系统提供了一种功能结构的框架。它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

1、1980年，James P Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)
第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。
2、1984年到1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型--IDES(入侵检测专家系统)
3、1990年，加州大学戴维斯分校的L T Heberlein等人开发出了NSM(Network Security Monitor)
该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机
入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS
4、1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
5、从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。

物模型是云平台为物联网产品定义的数据模型，用于描述产品的功能。将产品抽象成数据的集合，方便云端进行控制。

物模型从 属性 、 服务 和 事件 三个维度，分别描述了该实体是什么、能做什么、可以对外提供哪些信息。定义了物模型的这三个维度，即完成了产品功能的定义。

TSL 格式是一个 JSON 格式的文件，完整的 TSL 格式可以参考： 阿里云物模型 。

嵌入式端开发固件往往只需要关注少数几个参数，可以在产品的 功能定义 页面，单击 物模型TSL ， 精简物模型 里面查看。

需要关注的有 "properties"，"events"，"services"，在 JSON 格式里，这三者都是数组，分别存储了该物模型的数据，事件和服务，在 C-SDK 里也就分别是 IOT_Linkkit_Report() 上报属性， IOT_Linkkit_TriggerEvent() 触发事件和注册为 ITE_SERVICE_REQUEST 的回调函数。

在上报属性时，只需要关注 "identifier" 名称对应的值（字符串），此时表示该属性在产品下的唯一标识。例如一个精简物模型属性为：

则上报的数据只需要为 {"count":10} 即可，需满足 JSON 字符串的格式，字符串内有一个名称/值对，名称为 "count"（物模型里 "identifier" 的值），值对为 10（满足物模型里数据类型为 int 的要求）。

触发事件需要关注 "identifier" 名称对应的值（字符串），表示该事件在产品下的唯一标识；还需要关注 "outputData"，表示上报事件的输出值。一个精简物模型例子如下：

"outputData" 数组的使用与属性上报一致，这里就不介绍了。

服务调用需要同时关注 "identifier"，"inputData" 和 "outputData" 这三个名称，分别表示该服务在产品下的唯一标识，服务的输入参数，服务的输出参数。与函数调用有输入值和输出值类似，服务调用也有这些特征。

物模型数据校验方式目前有两种， 弱校验 和 免校验 。

也就是说，弱校验针对产品设备的上报数据，只要 idetifier 是一致的，且 dataType 字段满足要求，就接收该数据，并且在其他云端产品流转。

为什么云端可以设置和获取接入设备的属性呢？为什么接入设备可以上报事件给云端呢？又为什么云端可以调用接入设备提供的服务呢？这就是这一小节解释的内容。

物模型基于 MQTT 协议，MQTT 协议的介绍不在此处展开。

云端定义了一系列的 Topic，在设备接入云端时，C-SDK 向 MQTT broker 订阅了一些的 Topic，而云端需要与设备交互时，就向 MQTT broker 发布相应的 Topic，这样就完成了交互过程。同理，云端也会订阅一些 Topic，设备可以向这些 Topic 发布消息。

接入设备端订阅发布的 Topic 列表如下：

其中 ${productKey} 会替换为实际的产品名，${deviceName} 会替换为实际的设备名，${tsleventidentifier} 是事件的标识符，${tslserviceidentifier} 是服务的标识符，最大限度地保证了 Topic 的唯一性。

这些 Topic 的作用在后面用时序来描述。

               

信息系统安全模型的构建是获得信息系统安全的基础和保障。

安全模型是安全策略的一种精确描述,它在安全系统开发中起着关键的作用。最早的安全模型是用于描述军事安全策略的,随着计算机的迅速普及,适应各种应用领域安全需求的安全模型不断地被提出。

               

随着计算机技术的发展与普及，许多企事业单位和管理机构都建立了自己的管理信息系统。在信息系统开发设计过程中，安全性能总是被放在首要的位置，成为信息系统生存的关键。构建企业级信息系统的安全模型已日益成为一个重要的研究领域。

             

信息系统安全性提升，主要来自信息安全产品和服务的贡献。整个市场保持着以商用密码、防火墙、防病毒、入侵检测、身份识别、网络隔离、防信息泄露和备份恢复等产品为主导的格局，反垃圾邮件技术、大规模网络化技术和安全存储技术等方面取得很大进展。

              

    很多信息系统安全模型为层次模型，可以把信息系统安全归结为一个层次模型，模型中各层之间互相依赖，下层向上层提供支持。云安全参考模型解决的是分类的关系。

             

---