返回
入侵检测系统57468

入侵检测系统57468

ID:21965258

大小:148.00 KB

页数:5页

时间:2018-10-25

入侵检测系统57468_第1页
入侵检测系统57468_第2页
入侵检测系统57468_第3页
入侵检测系统57468_第4页
入侵检测系统57468_第5页
资源描述:

《入侵检测系统57468》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IDES是一个混合型的入侵检测系统,使用一个在当时来说是创新的统计分析算法来检测异常入侵行为,同时该系统还使用一个专家系统检测模块来对已知的入侵攻击模式进行检测。DIDS系统设计的目标环境是一组经由以太局域网连接起来的主机,并且这些主机系统都满足C2等级的安全审计功能要求。DIDS所要完成的任务是监控网络中各个主机的安全状态,同时检测针对局域网本身的攻击行为。入侵检测是对企图入侵,正在进行的入侵或者已经发生的入侵检测系统,其中包括软件系统以及软硬件结合的系统。审计数据的获取工作主要考虑下列问题:1.确定审计数据的

2、来源和类型2.审计数据的预处理工作,其中包括记录标准格式的设计,过滤和映射操作等3.审计数据的获取方式包括审计数据获取模块的结果设计和传输协议等审计数据模块的主要作用是获取目标系统的审计数据,并经过预处理工作后,最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流,供其使用。邻域接口包括两个主要部件:目标系统组建(Agen)和IDES组件(Arpool)。特征分析VS协议分析类型优点缺点特征分析●在小规则集合情况下,工作速度快●检测规则易于编写、便于理解并且容易进行定制●对新出现的攻击手段,具备快速升级支

3、持能力●对低层的简单脚本攻击行为,具备良好的检测性能●对所发生的攻击行为类型,具备确定性的解释能力●随着规则集合规模的扩大,检测速度迅速下降●各种变种的攻击行为,易于造成过度膨胀的规则集合●较易产生虚警信息●仅能检测到已知的攻击类型,前提是该种攻击类型的检测特征已知协议分析●具备良好的性能可扩展性,特别是在规则集合规模较大的情况下●能够发现最新的未知安全漏洞(Zero-DayExploits)●较少出现虚警信息●在小规则集合情况下,初始的检测速度相对较慢●检测规则比较复杂,难以编写和理解并且通常是由特定厂商实现●

4、协议复杂性的扩展以及实际实现的多样性,容易导致规则扩展的困难●对发现的攻击行为类型,缺乏明确的解释信息P2DR模型是一个动态的计算机系统安全理论模型.P2DR特点是动态性和基于时间的特性P2DR模型的内容包括如下。⑴策略:P2DR模型的核心内容。具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。⑵防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。⑶检测:在采取各种安全措施后,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。⑷响

5、应:当发现了入侵活动或入侵结果后,需要系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。STAT系统架构示意图基于状态转移分析的检测模型,将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程,从而使得目标系统从初始状态转移到攻击者所期望的危害状态。它所具有的优点如下:①直接采用审计记录序列来表示攻击行为的方法不具备直观性。而STAT采用高层的状态转移表示方法来表示攻击过程,避免了这一问题。②对于同一种攻击行为可能对应着不同的审计记录序

6、列,这些不同审计记录序列可能仅仅因为一些细微的差别而无法被采用直接匹配技术的检测系统察觉,而STAT可以较好地处理这种情况。③STAT能够检测到由多个攻击者所共同发起的协同攻击,以及跨越多个进程的攻击行为。另外,STAT的一大特色就是具备在某种攻击行为尚未造成实质危害时,就及时检测到并采取某种响应措施的能力。4种可以用于入侵检测的统计模型.统计分析系统中不同类型的单独测量值(1)操作模型(1)活动强度测量值(2)均值与标准偏差模型(2)审计记录分布测量值(3)多元模型(3)类别测量值(4)马尔可夫过程模型(4)序

7、数测量值神经网络技术应用于入侵检测领域具有以下优势:⑴神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。⑵神经网络具备高度的学习和自适应能力。⑶神经网络所独有的内在并行计算和存储特性。神经网络技术在入侵检测中的应用还存在以下缺陷和不足:⑴需要解决神经网络对大容量入侵行为类型的学习能力问题。⑵需要解决神经网络的解释能力不足的问题。⑶执行速度问题。要解决这个问题,或许需要设计专门的神经网络计算芯片或者计算机。KDD技术通常包括以下步骤:①理解应用背景。②数据准备。③数据挖掘。④结果解析。⑤使用所

8、发现的知识入侵检测相关的算法类别(1)分类算法目标是将特定的数据项归入预先定义好的某个类别。常用:RIPPER、C4.5、NearestNeighbor(2)关联分析算法用于确定数据记录中各个字段之间的联系。主流有Apriori算法、AprioriTid算法。(3)序列分析算法发掘数据集中存在的序列模式,即不同数据记录间的相关性。常见:ArpioriAll算法、Dynam

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。