入侵检测技术
- 格式:docx
- 大小:15.43 KB
- 文档页数:2
入侵检测技术
入侵检测定义:入侵是指在非授权得情况下,试图存取信息、处理信息或破坏以使系统不可靠、不可用的故意行为。
入侵检测的基本原理:主要分为四个阶段:
1、 数据收集:数据收集是入侵检测的基础,采用不同的方法进行分析。
2、 数据处理:从原始数据中除去冗余、杂声,并且进行格式化以及标准化处理。
3、 数据分析:检查数据是否正常,或者显示是否存在入侵。
4、 响应处理:发现入侵,采取措施进行保护,保留入侵证据并且通知管理员。
信息系统面临的威胁:
1、计算机病毒 2、黑客入侵
3、信号截取 4、介质失密 5、系统漏洞 6、非法访问 7、人为因素 8、遥控设备
信息分析的三种技术手段:模式匹配、统计分析、完整性分析
误用入侵检测的基本概念:主要是通过某种方式预先定义入侵行为,然后监视系统的运行,并且从中找出符合预先定义规则的入侵行为。
误用入侵检测的工作模式:
1、 从系统的不同环节收集信息2、 分析收集的信息,找出入侵活动的特征
3、对检测到的入侵行为自动做出响应 4、 记录并报告检测结果。
误用入侵检测系统的缺陷
1、 攻击特征的提取还没有统一的标准,特征模式库的提取和更新还需要依赖手工的模式
2、现在的多数商业如期检测系统只对已经知道的攻击手段有效,误报率和漏报率很好。
3、对系统的评估较差。 异常入侵检测的方法
1、基于统计分析的异常入侵检测方法
2、基于模式预测的异常入侵检测
3、基于数据挖掘的异常入侵检测
4、基于神经网络的异常入侵检测
5、基于免疫系统的异常入侵检测
6、基于特征选择的异常入侵检测
7、其它方法