入侵检测技术

  • 格式:docx
  • 大小:15.43 KB
  • 文档页数:2

入侵检测技术

入侵检测定义:入侵是指在非授权得情况下,试图存取信息、处理信息或破坏以使系统不可靠、不可用的故意行为。

入侵检测的基本原理:主要分为四个阶段:

1、 数据收集:数据收集是入侵检测的基础,采用不同的方法进行分析。

2、 数据处理:从原始数据中除去冗余、杂声,并且进行格式化以及标准化处理。

3、 数据分析:检查数据是否正常,或者显示是否存在入侵。

4、 响应处理:发现入侵,采取措施进行保护,保留入侵证据并且通知管理员。

信息系统面临的威胁:

1、计算机病毒 2、黑客入侵

3、信号截取 4、介质失密 5、系统漏洞 6、非法访问 7、人为因素 8、遥控设备

信息分析的三种技术手段:模式匹配、统计分析、完整性分析

误用入侵检测的基本概念:主要是通过某种方式预先定义入侵行为,然后监视系统的运行,并且从中找出符合预先定义规则的入侵行为。

误用入侵检测的工作模式:

1、 从系统的不同环节收集信息2、 分析收集的信息,找出入侵活动的特征

3、对检测到的入侵行为自动做出响应 4、 记录并报告检测结果。

误用入侵检测系统的缺陷

1、 攻击特征的提取还没有统一的标准,特征模式库的提取和更新还需要依赖手工的模式

2、现在的多数商业如期检测系统只对已经知道的攻击手段有效,误报率和漏报率很好。

3、对系统的评估较差。 异常入侵检测的方法

1、基于统计分析的异常入侵检测方法

2、基于模式预测的异常入侵检测

3、基于数据挖掘的异常入侵检测

4、基于神经网络的异常入侵检测

5、基于免疫系统的异常入侵检测

6、基于特征选择的异常入侵检测

7、其它方法