入侵检测与防护
    1、入侵检测与防护的技术主要有两种：入侵检测系统（Instrusion Detection System,IDS）和入侵防护系(InstrusionPreventionSystem,IPS)
    2、入侵检测的基本模型是PDR模型，其思想是防护时间大于检测时间和响应时间。
    3、针对静态的系统安全模型提出了“动态安全模型（P2DR）”.P2DR模型包含4个主要部分：Policy(安全策略),Protection(防护),Detection(检测)和Response(响应)
 
    4、入侵检测技术主要分为两大类型：异常入侵检测和误用入侵检测。
    5、入侵检测系统的体系结构大致可以分为基于主机型（Host-Based）、基于网络型（Network-Based）和基于主体型（Agent-Based）三种。
    6、基于主机入侵检测系统的检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。
    7、基于网络的入侵检测系统是根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵，如Netstat检测就是基于网络型的。
    8、基于主体的入侵检测系统主要的方法是采用相互独立运行的进程组（称为自治主体）分别负责检测，通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。
    9、异常检测的方法有统计方法、预测模式生成、专家系统、神经网络、用户意图识别、数据挖掘和计算机免疫学方法等。
    10、误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类，然后手工的编写相应的检测规则和特征模型。
    11、Snort的配置有3个主要模式：嗅探（Sniffer）、包记录（PacketLogger）和网络入侵检测（Network Instrusion Detection）.嗅探模式主要是读取网络上的数据包并在控制台上用数据流不断地显示出来；包记录模式把数据包记录在磁带上；网络入侵检测模式是最复杂最难配置的，它可以分析网流量与用户定义的规则设置进行匹配然后根据结果指行相应的操作。