中級通信互聯網技術知識點精講之入侵檢測技術分析

       下面是由希賽小編整理的中級通信互聯網技術知識點精講之入侵檢測技術分析，希望能幫助學友們。具體內容如下：

       入侵檢測技術分析

       1.技術分類

       入侵檢測系統(tǒng)所采用的技術可分為特征檢測與異常檢測兩種。

       (1)特征檢測

       特征檢測（Signature-baseddetection)又稱為Misusedetection,這一檢測假設入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計出相關模式，既能夠刻畫“入侵”現象，又不會將正常的活動包含進來。

       (2)異常檢測

       異常檢測（Anomalydetection)的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

       2.常用檢測方法

       入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測和希賽網系統(tǒng)。據公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心的報告，國內送檢的入侵檢測產品中95%是屬于使用入侵模板進行模式匹配的特征檢測產品，其他5%是采用概率統(tǒng)計的統(tǒng)計檢測產品與基于日志的希賽網知識庫系產品。

       (1)特征檢測

       特征檢測對己知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。原理上與希賽網系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前，基于對包特征描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高，但對于無經驗知識的入侵與攻擊行為無能為力。

       (2)統(tǒng)計檢測

       統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。常用的入侵檢測5種統(tǒng)計模型如下。

       操作模型：該模型假設異常可通過測量結果與一些固定指標相比較得到，固定指標可以根據經驗值或一段時間內的統(tǒng)計平均得到，例如，在短時間內的多次失敗的登錄很有可能是口令嘗試攻擊。

       方差：計算參數的方差，設定其置信區(qū)間，當測量值超過置信區(qū)間的范圍時表明有可能是異常。

       多元模型：操作模型的擴展，通過同時分析多個參數實現檢測。

       馬爾柯夫過程模型：將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉移矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，或狀態(tài)矩陣該轉移的概率較小時，則可能是異常事件。

       時間序列分析：將事件計數與資源耗用根據時間排成序列，如果一個新事件在該時間發(fā)生的概率較低，則該事件可能是入侵。

       統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也可使入侵者通過逐步“訓練”使入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。

       3.希賽網系統(tǒng)

       希賽網系統(tǒng)對入侵進行檢測針對有特征的入侵行為，即規(guī)則或知識。不同的系統(tǒng)與設置具有不同的規(guī)則，規(guī)則之間一般無通用性。希賽網系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是建立入侵檢測希賽網系統(tǒng)的關鍵。在系統(tǒng)實現中，將有關入侵的知識轉化為if-then結構（也可以是復合結構)，條件部分為入侵特征，then部分是系統(tǒng)防范措施。

       返回目錄：中級通信互聯網技術知識點精講之網絡安全技術匯總

       相關推薦：

       中級通信工程師互聯網技術考試教材推薦

       中級通信工程師互聯網技術考試培訓視頻推薦

       中級通信工程師互聯網技術考試大綱