电子科技女学 网络安全曜格5散术 信息收集的来源 ◆系统或网络的日志文件 ◆网络流量 ◆系统目录和文件的异常变化 ◆程序的异常行为 信息与软件工程学院 11
理论与技术 信息收集的来源 ◆系统或网络的日志文件 ◆网络流量 ◆系统目录和文件的异常变化 ◆程序的异常行为 11
胸电古科放大学 网络安全曜格5散术 系统或网络的日志文件 ◆系统或网络日志文件常留下攻击者踪迹 ◆日志文件记录各类行为,每类日志包含不同信息 >如“用户活动”类日志:包含登录、用户工D改变、用户对文件的访 问、授权和认证信息等内容 >不正常或不期望的行为:重复登录失败、登录到不期望的位置以及 非授权的企图访问重要文件等 信息与软件工程学院
理论与技术 系统或网络的日志文件 ◆系统或网络日志文件常留下攻击者踪迹 ◆日志文件记录各类行为,每类日志包含不同信息 ➢如“用户活动”类日志:包含登录、用户ID改变、用户对文件的访 问、授权和认证信息等内容 ➢不正常或不期望的行为:重复登录失败、登录到不期望的位置以及 非授权的企图访问重要文件等
胸电古科放大学 网络安全曜格5散术 系统目录和文件的异常变化 ◆网络环境下的文件系统中的重要信息文件和私有数据文件经常是黑 客修改或破坏的目标 ◆目录和文件不期望的改变 >如修改、创建和删除,特别是那些正常情况下限制访问的,很可能 就是一种入侵产生的指示和信号 ◆入侵者经常替换、修改和破坏他们获得访问权的系统上的文件 ◆同时为了隐藏系统中他们的表现及活动痕迹,会尽力去替换系统程 序或修改系统日志文件 信息与软件工程学院
理论与技术 系统目录和文件的异常变化 ◆网络环境下的文件系统中的重要信息文件和私有数据文件经常是黑 客修改或破坏的目标 ◆目录和文件不期望的改变 ➢如修改、创建和删除,特别是那些正常情况下限制访问的,很可能 就是一种入侵产生的指示和信号 ◆入侵者经常替换、修改和破坏他们获得访问权的系统上的文件 ◆同时为了隐藏系统中他们的表现及活动痕迹,会尽力去替换系统程 序或修改系统日志文件
胸电占科放大学 网络安全潭备多状术 网络流量与程序的异常行为 ◆网络流量 >网络流量中蕴含了网络入侵的全部数据和行为,网络流量是检测网 络入侵的原始数据 ◆程序的异常行为 >入侵者常在入侵目标主机上执行程序实现特定的操作和行为,一些 程序的异常行为往往是入侵活动的反映。 信息与软件工程学院 14
理论与技术 网络流量与程序的异常行为 ◆网络流量 ➢网络流量中蕴含了网络入侵的全部数据和行为,网络流量是检测网 络入侵的原始数据 ◆程序的异常行为 ➢入侵者常在入侵目标主机上执行程序实现特定的操作和行为,一些 程序的异常行为往往是入侵活动的反映。 14
胸电占科放大学 网络安全曜格5散术 信息分析关键参数(指标) ◆误报(false positive): >错误将正(异)常活动定义为入侵 ◆漏报(false negative): >未能检测出入侵行为 信息与软件工程学院 15
理论与技术 信息分析关键参数(指标) ◆误报(false positive): ➢错误将正(异)常活动定义为入侵 ◆漏报(false negative): ➢未能检测出入侵行为 15