首页 电脑 电脑学堂 查看内容

入侵检测方法

2004-9-29 20:05 699 0

摘要: 入侵检测系统(Intrusion Detective System)作为安全检测的最后一道防线,能够用于检测出各种形式的入侵行为,是安全防御体系的一个重要组成部分。入侵检测系统按照其输入数据的来源来看...
关键词: 检测系统 检测 方法 行为 轮廓 系统 异常 活动 网络 统计

入侵检测系统(Intrusion Detective System)作为安全检测的最后一道防线,能够用于检测出各种形式的入侵行为,是安全防御体系的一个重要组成部分。入侵检测系统按照其输入数据的来源来看,可以分为3类: (1) 基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵; (2) 基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵; (3) 采用上述两种数据来源的分布式的入侵检测系统:能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,有多个部件组成。 入侵检测系统按照其采用的方法来看,可以分为3类: (1) 采用异常检测的入侵检测系统; (2) 采用滥用检测的入侵检测系统; (3) 采用两种混合的检测的入侵检测系统。 异常检测(Anomaly Detection)指根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检测,所以也被称为基于行为的检测。异常检测基于统计方法,使用系统或用户的活动轮廓(Activity Profile)来检测入侵活动。活动轮廓由一组统计参数组成,通常包括CPU和I/O利用率、文件访问、出错率、网络连接等。这类IDS先产生主体的活动轮廓,系统运行时,异常检测程序产生当前活动轮廓并同原始轮廓比较,同时更新原始轮廓,当发生显著偏离时即认为是入侵。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前从未出现过的攻击方法,不象基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。基于行为的检测方法主要有:概率统计方法与神经网络方法。 目前的方法虽然能够在某些方面有很好的效果,但从总体来看都各有不足。孤立地去看哪种方法好、哪种方法不好都是不可取的。因而现在越来越多的入侵检测系统都同时具有这两方面的部件,互相补充不足,共同完成检测任务。目前,仍有许多学者在研究新的检测方法,有采用自动代理主动防御,有将免疫学原理应用到入侵检测的方法等。随着计算机技术和入侵技术的发展,入侵检测方法研究仍将任重而道远。
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部