电子科技女学 网络安全曜备易散木 信息分析方法 误用检测 ◆ 统计分析 ◆完整性分析 信息与软件工程学院 16
理论与技术 信息分析方法 ◆ 误用检测 ◆ 统计分析 ◆ 完整性分析 16
网络安全螺危易教本 误用检测模型 (模式匹配) ◆误用检测模型 (Misuse Detection): >收集非正常操作的行为特征,建立(入侵或攻击)特征库 (误用模 式数据库) >监测用户或系统行为与特征库中记录匹配( 指纹识别),发现违背 安全策略的行为 般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一 个输出(如获得权限) 来表示。 >该过程可以很简单,如通过字符串匹配以寻找一个简单的条目或指 令 >也可以很复杂,如利用正规的数学表达式来表示安全状态的变化 信息与软件工程学院 17
理论与技术 误用检测模型(模式匹配) ◆误用检测模型(Misuse Detection): ➢收集非正常操作的行为特征,建立(入侵或攻击)特征库(误用模 式数据库) ➢监测用户或系统行为与特征库中记录匹配(指纹识别),发现违背 安全策略的行为 ◆一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一 个输出(如获得权限)来表示。 ➢该过程可以很简单,如通过字符串匹配以寻找一个简单的条目或指 令 ➢也可以很复杂,如利用正规的数学表达式来表示安全状态的变化 17
电子科技女学 网络安全曜备易散木 误用检测模型 建立入侵特征库 Normal Activity System Audit No Signature Match Metrics Pattern Matcher 监测系统行为 Signature Match Intrusion 信息与软件工程学院 18
理论与技术 误用检测模型 18 Metrics 建立入侵特征库 监测系统行为
电子科技女学 网络安全曜格5散术 误用检测模型特点 ◆误用检测模型的误报与漏报 >误报:入侵特征与正常的用户行为匹配 >漏报:没有特征与某种新的攻击行为匹配 ◆误用检测模型能明显降低误报率,但漏报率随之增加。 ◆攻击特征的细微变化,会使得误用检测无能为力 信息与软件工程学院 19
理论与技术 误用检测模型特点 ◆误用检测模型的误报与漏报 ➢误报:入侵特征与正常的用户行为匹配 ➢漏报:没有特征与某种新的攻击行为匹配 ◆误用检测模型能明显降低误报率,但漏报率随之增加。 ◆攻击特征的细微变化,会使得误用检测无能为力 19
网络安至潭备6教术 异常检测模型 (统计分析) ◆异常检测模型 (Anomaly Detection ) >给系统对象如用户、文件、目录和设备等创建统计描述,描述正常操作应 具有特征,形成系统对象的正常轮廓。 ●定时采样系统正常使用时的一些测量属性,包括会话登录、退出的时间和频 率,CU和内存的占用率,硬盘使用,访问次数,操作失败次数和延时等; ●统计上述系统正常使用时的测量属性的平均值和偏差作为系统对象的正常轮 廓 >检测时,将当前网络或系统对象的行为与系统对象的正常轮廓进行比较, 当系统对象的行为与正常轮廓有重大偏离(观察值在正常值范围之外)时, 就视为入侵。 信息与软件工程学院 20
理论与技术 异常检测模型(统计分析) ◆异常检测模型(Anomaly Detection ): ➢给系统对象如用户、文件、目录和设备等创建统计描述,描述正常操作应 具有特征,形成系统对象的正常轮廓。 ⚫定时采样系统正常使用时的一些测量属性,包括会话登录、退出的时间和频 率,CPU和内存的占用率,硬盘使用,访问次数,操作失败次数和延时等; ⚫统计上述系统正常使用时的测量属性的平均值和偏差作为系统对象的正常轮 廓 ➢检测时,将当前网络或系统对象的行为与系统对象的正常轮廓进行比较, 当系统对象的行为与正常轮廓有重大偏离(观察值在正常值范围之外)时, 就视为入侵 。 20