中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之入侵檢測(cè)技術(shù)分析

       下面是由希賽小編整理的中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之入侵檢測(cè)技術(shù)分析，希望能幫助學(xué)友們。具體內(nèi)容如下：

       入侵檢測(cè)技術(shù)分析

       1.技術(shù)分類

       入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。

       (1)特征檢測(cè)

       特征檢測(cè)（Signature-baseddetection)又稱為Misusedetection,這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將己有的入侵方法檢查出來(lái)，但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)出相關(guān)模式，既能夠刻畫(huà)“入侵”現(xiàn)象，又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。

       (2)異常檢測(cè)

       異常檢測(cè)（Anomalydetection)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

       2.常用檢測(cè)方法

       入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)和希賽網(wǎng)系統(tǒng)。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國(guó)內(nèi)送檢的入侵檢測(cè)產(chǎn)品中95%是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品，其他5%是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的希賽網(wǎng)知識(shí)庫(kù)系產(chǎn)品。

       (1)特征檢測(cè)

       特征檢測(cè)對(duì)己知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。原理上與希賽網(wǎng)系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前，基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高，但對(duì)于無(wú)經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無(wú)能為力。

       (2)統(tǒng)計(jì)檢測(cè)

       統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè)5種統(tǒng)計(jì)模型如下。

       操作模型：該模型假設(shè)異?？赏ㄟ^(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，例如，在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊。

       方差：計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常。

       多元模型：操作模型的擴(kuò)展，通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)。

       馬爾柯夫過(guò)程模型：將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概率較小時(shí)，則可能是異常事件。

       時(shí)間序列分析：將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是入侵。

       統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也可使入侵者通過(guò)逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過(guò)入侵檢測(cè)系統(tǒng)。

       3.希賽網(wǎng)系統(tǒng)

       希賽網(wǎng)系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)針對(duì)有特征的入侵行為，即規(guī)則或知識(shí)。不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，規(guī)則之間一般無(wú)通用性。希賽網(wǎng)系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是建立入侵檢測(cè)希賽網(wǎng)系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)（也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分是系統(tǒng)防范措施。

       返回目錄：中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       相關(guān)推薦：

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱