入侵检测技术总结

入侵检测技术总结

ID:17130991

大小:43.50 KB

页数:5页

时间:2018-08-27

入侵检测技术总结_第1页
入侵检测技术总结_第2页
入侵检测技术总结_第3页
入侵检测技术总结_第4页
入侵检测技术总结_第5页
资源描述:

《入侵检测技术总结》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。入侵检测(IntrusionDetection)是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。审计数据的获取是主机入侵检测技术的重要基石,是进行主机入侵检测的信息来源。网络数据包的截获是基于网络的入侵检测技术的工作基石。根据网络类型的不同,网络数据截获可以通过两种方法实现:一种是利用以太网络的广播特性,另一种是通过设置路由器的监听端口或者是镜像端口来实现。主机入侵检测所要进行的主要工作就是审计数据的预处理工作,包括映射、过滤和格式转换等操作。预处理工作的必要性体现在一下几个方面:①不同目标系统环境的审计记录

2、格式不相同,对其进行格式转换的预处理操作形成标准记录格式后,将有利于系统在不同目标平台系统之间的移植;同时,有利于形成单一格式的标准审计记录流,便于后继的处理模块进行检测工作②对于审计系统而言,系统中所发生的所有可审计活动都会生成对应的审计记录,因此对某个时间段而言,审计记录的生成速度是非常快的,而其中往往大量充斥着对于入侵检测而言无用的事件记录。所以,需要对审计记录流进行必要的映射和过滤等操作。构建状态转移图的过程大致分为如下步骤:①分析具体的攻击行为,理解内在机理②确定攻击过程中的关键行为点③确定初始状态和最终状态④从最终状态出发,逐步确定所需的各个中间状态及其应该满足的状态断言组文件完整

3、性检查的目的是检查主机系统中文件系统的完整性,及时发现潜在的针对文件系统的无意或者恶意的更改。检测引擎的设计是基于网络入侵检测的核心问题。检测引擎可分为两大类:嵌入式规则检测引擎和可编程的检测引擎。类型优点缺点特征分析·在小规则集合情况下,工作速度快·检测规则易于编写、便于理解并且容易进行定制·对新出现的攻击手段,具备快速升级支持能力·对低层的简单脚本攻击行为,具备良好的检测性能·对所发生的攻击行为类型,具备确定性的解释能力·随着规则集合规模的扩大,检查速度迅速下降·各种变种的攻击行为,易于造成过度膨胀的规则集合·较易产生虚警信息·仅能检测到已知的攻击类型,前提是该种攻击类型的检测特征已知协议

4、分析·具备良好的性能可扩展性,特别是在规则集合规模较大的情况下·能够发现最新的未知安全漏洞(Zero-DayExploits)·较少出现虚警信息·在小规则集合情况下,初始的检测速度相对较慢·检测规则比较复杂,难以编写和理解并且通常是由特定厂商实现·协议复杂性的扩展以及实际实现的多样性,容易导致规则扩展的困难·对发现的攻击行为类型,缺乏明确的解释信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵检测系统主要包括3种类型的组件:主机监控器(HostMonitor)、局域网监控器(LANMonitor)和中央控制台(Director)。主机监控器由主机

5、事件发生器(HostEventGenerator,HEG)和主机代理(HostAgent)组成。otherstaffoftheCentre.Duringthewar,ZhuwastransferredbacktoJiangxi,andDirectorofthenewOfficeinJingdezhen,JiangxiCommitteeSecretary.Startingin1939servedasrecorderoftheWestNorthOrganization,SecretaryoftheSpecialCommitteeAfterthevictoryofthelongMarch,hehas

6、beentheNorthwestOfficeoftheFederationofStateenterprisesMinister,ShenmufuguSARmissions,DirectorofNingxiaCountypartyCommitteeSecretaryandrecorderoftheCountypartyCommitteeSecretary,Ministersand局域网监控器由局域网事件发生器(LANEventGenerator,LEG)和局域网代理(LANAgent)组成。控制台主要包括3个部分:通信管理器(CommunicationManager)、专家系统和用户接口。入侵检

7、测专家系统(IDES,IntrusionDetectionExpertSystem)是一个混合型的入侵检测系统,使用一个在当时来说是创新的统计分析算法来检测异常入侵行为,同时,该系统还用一个专家系统检测模块来对已知的入侵攻击模式进行检测。人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。神经网络技术应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。