入侵行為不僅來自外部， 同時也指內(nèi)部用戶的未授權(quán)活動。 按照入侵行為特征， 入侵主要分

為以下幾類情況。

（1）試圖闖入或成功闖入。 闖入是指未經(jīng)授權(quán)進(jìn)入系統(tǒng)或網(wǎng)絡(luò)的行為。 闖入者一般通過猜測

口令或運(yùn)用工具（如字典攻擊）企圖進(jìn)入系統(tǒng)， 可通過與用戶典型行為特征或安全限制進(jìn)行比較來

檢測這類攻擊。

（2）冒充其他用戶， 可能是冒用他人的賬戶， 也可能是修改所發(fā)送的信息或文件， 冒充發(fā)送者。

通常冒用他人賬戶與聞入行為相伴， 所以也能通過典型行為特征或安全限制來檢測。

（3）違反安全策略， 指用戶行為超出了系統(tǒng)安全策略所定義的合法行為范圍。 例如， 企圖越權(quán)

訪問文件或執(zhí)行無權(quán)進(jìn)行的操作， 可以通過具體行為模式檢測來防范這種入侵。

（4）合法用戶的泄露， 指在多級安全模式下， 系統(tǒng)中存在兩個以上不同安全級別的用戶， 有權(quán)

訪問高級機(jī)密信息的用戶將自己權(quán)限內(nèi)的敏感信息發(fā)送給非授權(quán)的普通用戶。 對于這種入侵， 可

以通過VO資源使用情況來進(jìn)行檢測。

（5）獨(dú)占資源， 指攻擊者企圖獨(dú)占特定的資源（通常是系統(tǒng)資源）， 以阻止合法用戶的正常使

用， 或?qū)е孪到y(tǒng)崩漬， 如郵件炸彈、DOS攻擊、蠕蟲等。 一般通過檢查系統(tǒng)資源的使用情況來檢測

這種類型的攻擊。

（6）惡意使用， 指攻擊者進(jìn)入系統(tǒng)后， 企圖執(zhí)行使系統(tǒng)不能正常運(yùn)行的操作， 如刪除系統(tǒng)文件

等。 此類攻擊主要有特洛伊木馬。 可通過典型行為特征， 安全限制或使用權(quán)限來檢測。

上述入侵的分類是從入侵行為特征的角度來說明的， 從不同的角度可以有不同的分類。