1、“.....曾经有过商用入侵检测系统基于误报警就做出了响应。这种响应的思想是如果你发现个连接被建立，而它连接的是你要保护的种东西，就伪造个并将其发送给发起连接的主机，使连接断开。尽管在商用入侵检测系统中很可能得到这响应功能，但它不是经常被用到。旦与误报警联系在起，这个技术就变得很有意思。另外如果这个技术流行起来，那些攻击者可能很快就会修补他们的程序使其忽略信号。当然，还有种方式是向内部发送。分布式入侵检测系统设计与实现第六章系统自身的安全入侵检测系统本身也是个应用程序，他也存在自身的安全问题。同时，由于它的特殊性，必然受到攻击者特别的关照，所以，入侵检测系统自身的安全问题非常重要。般认为......”。

2、“.....就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式假冒身份攻击非法用户进入网络系统进行违法操作合法用户以未授权方式进行操作等。比如假冒中的合法部件等。信息泄漏或丢失指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏如攻击者利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向流量通信频度和长度等参数的分析，推出有用信息，如用户口令帐号等重要信息。，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等......”。

3、“.....删除修改插入或重发些重要信息，以取得有益于攻击者的响应恶意添加，修改数据，以干扰用户的正常使用。拒绝服务攻击它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。由于入侵检测系统中的网络引擎主机代理和存储系统都对网络通信非常敏感，所以最容易受到攻击。对于其中的非授权访问信息泄漏或丢失和破坏数据完整性，我们可以使用加密技术鉴别技术数字签名技术等安全技术。对于拒绝服务攻击，现在没有个理论上的的解决方法，只有在系统设计程序编制中仔细设计......”。

4、“.....分布式入侵检测系统设计与实现对付攻击入侵检测系统本身就是攻击者感兴趣和必须除掉的目标之，因此系统自身必须处理好攻击防护的问题。攻击者可以用下列的方式攻击个入侵探测系统使失效通常是作为被动监视器的电脑。监视器是旁置于网络流的，不是在中心位置这就意味着，如果他们不能跟上高速的网络流量，而他们又没有任何节流的手段，他们就必须开始丢数据包，这就正如用个消防水龙带喝水样。现在很少有能跟得上个满负荷的连接，其中满负荷意味着平均个数据报的大小是字节，大约是,个数据报秒。高的网络流量不仅仅是使开始丢掉不能处理的数据报，而且可以使完全瘫痪。例如，假设有个能处理最大限度的,帧秒的，当网络负载是,帧秒的时候......”。

5、“.....帧秒或者,帧秒甚至趋近于零。这是因为帧的接收与帧的分析是不同的过程处理的。在大多数的结构中，是由系统来抓包即使是太繁忙不能分析也不例外，这样就花去了许多应该用于分析的时间。因此，个攻击者可以通过使链路流量达到饱和的方式来攻击探测器。如果攻击者来自局域网内，他她就可以使用数据传输程序。攻击者通过在时刻向入侵检测系统所在的网络发送大量的信息包，使入侵检测系统来不及处理而过载，发生丢包现象，甚至由于系统缺陷而无法工作。入侵者在此时发动入侵，入侵相关的网络活动被淹没在大量的噪声中，使入侵检测系统无法检测出包含入侵模式的网络信息，无法发现攻击活动。要防范此种攻击......”。

6、“.....系统本身要精简高效，适应高速网络。也必须要选择具有最佳网络性能的操作系统，比如就比的网络性能要好得多。使事件存储失去用途端口扫描工具含有项称作圈套扫描的特征。它使用几百个假的地址再加上攻击者的真正地址来进行扫描，这将导致管理员不可能区分个是真实的，或者只是伪造的中的个。任何攻击能由按同样的方式组成。次带有伪造地址的强硬攻击总是在内部处藏着次真正攻击，管理员要从这些噪音里发现攻击，将分布式入侵检测系统设计与实现是非常的困难。处理有争议的数据的方法有两种如果个攻击者值得怀疑，数据就必须保留下来，留待下次分析其他的攻击也要写入到事件的存储空间里来。当数据库填满后，将不会再发现攻击......”。

7、“.....无论是那种，都可能没有任何表明攻击者的证据存在。防范此类攻击，需要系统所在系统的软硬件环境的支持，比如更大的内存更大的硬盘空间等，或者需要入侵检测系统具有实时的防御响应机制。同时要求系统所依附的操作系统必须足够健壮，尽量不能在受到常规的攻击中先于系统而崩溃。拒绝服务是个极其复杂的系统，与个运行着多个服务的完整栈的复杂性是等同的。这就意味着容易受到像和这样的攻击的影响。解决办法除了在编程时加强对代码的分析与测试工作，确保在内存及其他资源的使用方面没有潜在的问题外，由于系统中必须实现部分协议栈的功能，因此在处理收集到的网络原始数据时必须具有细致的完整性检查和周全的出错处理机制......”。

8、“.....此外,攻击者常常能购买到与被攻击者相同的系统,然后,进行多方面的实验，来发现是失效的数据报然后在攻击的时候,攻击者首先使失效,然后进行不被察觉的活动安全通信系统组件之间需要通信，不同的厂商的系统之间也需要通信。因此，定义统的协议，使各部分能够根据协议所致订的的标准进行沟通是很有必要的。目前有个专门的小组负责定义这种通信格式，称作。目前只有相关的草案，并未形成正式的文档。尽管如此，草案为各部分之间甚至不同系统之间的通信提供了定的指引。是制定的运行于之上分布式入侵检测系统设计与实现的应用层协议，其设计在很大程度上参考了，但补充了许多其他功能如可从任意端发起连接......”。

9、“.....部件之间传输的信息是非常重要的信息，因此必须要保持数据的真实性和完整性。必须有定的机制进行通信双方的身份验证和保密传输同时防止主动和被动攻击。安全套接层协议是在基础上提供的种保证私密性的安全协议。它能使客户服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。协议要求建立在可靠的传输层协议例如之上。协议的优势在于它是与应用层协议独立无关的。高层的应用层协议例如能透明的建立于协议之上。协议在应用层协议通信之前就已经完成加密算法通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。通过以上叙述......”。