互聯(lián)網(wǎng)技術(shù)考試入侵檢測技術(shù)分析

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯:m348568485 2013-09-08

摘要:視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報名時間9.6.2入侵檢測技術(shù)分析1.技術(shù)分類入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。(1)特征檢測特征檢測(Signature-baseddetection)又稱為Misusedetection,這一檢測假設(shè)入侵者活動可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。

 在線輔導(dǎo) 面授招生 考試大綱 指定教材 報名時間

9.6.2 入侵檢測技術(shù)分析

1.技術(shù)分類

入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。

(1)特征檢測

特征檢測(Signature-baseddetection)又稱為Misusedetection,這一檢測假設(shè)入侵者活動可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設(shè)計出相關(guān)模式,既能夠刻畫“入侵”現(xiàn)象,又不會將正常的活動包含進(jìn)來。

  (2)異常檢測

異常檢測(Anomalydetection)的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?;顒拥摹盎顒雍啓n”,將當(dāng)前主體的活動狀況與“活動簡檔”相比較,當(dāng)違反其統(tǒng)計規(guī)律時,認(rèn)為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

2.常用檢測方法

入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測和希賽網(wǎng)系統(tǒng)。據(jù)公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告,國內(nèi)送檢的入侵檢測產(chǎn)品中95%是屬于使用入侵模板進(jìn)行模式匹配的特征檢測產(chǎn)品,其他5%是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的希賽網(wǎng)知識庫系產(chǎn)品。

(1)特征檢測

特征檢測對己知的攻擊或入侵的方式作出確定性的描述,形成相應(yīng)的事件模式。當(dāng)被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與希賽網(wǎng)系統(tǒng)相仿。其檢測方法上與計算機(jī)病毒的檢測方式類似。目前,基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報檢測的準(zhǔn)確率較高,但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。

(2)統(tǒng)計檢測

統(tǒng)計模型常用異常檢測,在統(tǒng)計模型中常用的測量參數(shù)包括:審計事件的數(shù)量、間隔時間、資源消耗情況等。常用的入侵檢測5種統(tǒng)計模型如下。

操作模型:該模型假設(shè)異??赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到,固定指標(biāo)可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到,例如,在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊。

方差:計算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測量值超過置信區(qū)間的范圍時表明有可能是異常。

多元模型:操作模型的擴(kuò)展,通過同時分析多個參數(shù)實現(xiàn)檢測。

馬爾柯夫過程模型:將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化,當(dāng)一個事件發(fā)生時,或狀態(tài)矩陣該轉(zhuǎn)移的概率較小時,則可能是異常事件。

時間序列分析:將事件計數(shù)與資源耗用根據(jù)時間排成序列,如果一個新事件在該時間發(fā)生的概率較低,則該事件可能是入侵。

統(tǒng)計方法的最大優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣,從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也可使入侵者通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律,從而透過入侵檢測系統(tǒng)。

3.希賽網(wǎng)系統(tǒng)

希賽網(wǎng)系統(tǒng)對入侵進(jìn)行檢測針對有特征的入侵行為,即規(guī)則或知識。不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,規(guī)則之間一般無通用性。希賽網(wǎng)系統(tǒng)的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達(dá),是建立入侵檢測希賽網(wǎng)系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中,將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)),條件部分為入侵特征,then部分是系統(tǒng)防范措施。

返回目錄:通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總

編輯相關(guān)推薦:

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點匯總

通信工程師互聯(lián)網(wǎng)技術(shù)考試網(wǎng)絡(luò)操作系統(tǒng)

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)交換技術(shù)教程

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!

通信工程師備考資料免費領(lǐng)取

去領(lǐng)取

距離2025 通信工程師考試

還有
  • 3
  • 1
  • 3
專注在線職業(yè)教育23年

項目管理

信息系統(tǒng)項目管理師

廠商認(rèn)證

信息系統(tǒng)項目管理師

信息系統(tǒng)項目管理師

學(xué)歷提升

!
咨詢在線老師!