特征检测 ●也称操作检测或规则检测 。一系列行为规则： 。检查当前事件是否可以接受 普通用户不能拷贝系统文件 ● 两种特征检测： 口用户不能直接读写硬盘 口网络特征 口用户不应该访问其他用户的个 人目录 。分析数据包的行为 口行为特征 连续三次登录失败后用户不应 该继续尝试登录 。分析事件的用机行为 《计算机网络安全的理论与实践（第2版）》.【美】王杰，高等教育出版社，2011年《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 特征检测  也称操作检测或规则检测  检查当前事件是否可以接受  两种特征检测:  网络特征  分析数据包的行为  行为特征  分析事件的用机行为  一系列行为规则:  普通用户不能拷贝系统文件  用户不能直接读写硬盘  用户不应该访问其他用户的个 人目录  连续三次登录失败后用户不应 该继续尝试登录  …