(6)特洛伊木马 这个问题我们在前面已经详细地讨论过, 这里不在论述。一个IDS系统应揭露特洛伊 木马的隐藏活动,它采用的一种办法是将 程序实际占用的资源的类型和数量与它应 该占用的类型和数量进行比较。另外, 些合法的进程如果有违反安全规则的企图, 通常也意味着其代码中有隐藏的功能
(6)特洛伊木马。 • 这个问题我们在前面已经详细地讨论过, 这里不在论述。一个IDS系统应揭露特洛伊 木马的隐藏活动,它采用的一种办法是将 程序实际占用的资源的类型和数量与它应 该占用的类型和数量进行比较。另外,一 些合法的进程如果有违反安全规则的企图, 通常也意味着其代码中有隐藏的功能
(7)病毒 病毒也是IS要寻找、发现并揭露的威胁。 (8)拒绝服务。这也是IDS要解决的问题 。通常,攻击者通过对某些资源的独 占而达到拒绝系统为合法用户提供服务的 目的。对资源的异常请求和使用通常意味 着拒绝服务攻击的开始。如果这些请求服 务来自某些用户,而这些用户通常不会有 这样的特殊请求时,几乎可以肯定是这种 攻击
(7)病毒。 • 病毒也是IDS要寻找、发现并揭露的威胁。 • (8)拒绝服务。这也是IDS要解决的问题 之一。通常,攻击者通过对某些资源的独 占而达到拒绝系统为合法用户提供服务的 目的。对资源的异常请求和使用通常意味 着拒绝服务攻击的开始。如果这些请求服 务来自某些用户,而这些用户通常不会有 这样的特殊请求时,几乎可以肯定是这种 攻击
663入侵检测方法 选择何种入侵检测方法是设计DS的关键问 题,前面已经提到了异常入侵检测方法和 误用入侵检测方法,此外还有其他一些检 测方法,下面分别介绍这些方法
6.6.3 入侵检测方法 • 选择何种入侵检测方法是设计IDS的关键问 题,前面已经提到了异常入侵检测方法和 误用入侵检测方法,此外还有其他一些检 测方法,下面分别介绍这些方法
基本方法 IDS要使用一种或多种办法完成检测任务。 过去,IDS系统基于用户特征,并以此为依 据检测用户的活动或利用系统已知安全漏 洞的企图。另一种办法是利用入侵者的特 征作为检测的基础
一、基本方法 • IDS要使用一种或多种办法完成检测任务。 过去,IDS系统基于用户特征,并以此为依 据检测用户的活动或利用系统已知安全漏 洞的企图。另一种办法是利用入侵者的特 征作为检测的基础
1、用户特征 用户特征的基本前提是能够根据用户通常的举动 来识别特定的用户。用户的活动模式根据在一段 时间内的观察后建立。例如,这个用户更多地使 用某种命令,在特定时间内并以一定的频率访问 文件、系统登录及执行相同的程序等。 个假冒合法用户的入侵者多半不能够像合法用 户一样进行同样的操作或在一定的时间内登录。 因为入侵者的活动不在已经建立的用户特征范围 内,其入侵活动将会被检测到
1、用户特征 • 用户特征的基本前提是能够根据用户通常的举动 来识别特定的用户。用户的活动模式根据在一段 时间内的观察后建立。例如,这个用户更多地使 用某种命令,在特定时间内并以一定的频率访问 文件、系统登录及执行相同的程序等。 • 一个假冒合法用户的入侵者多半不能够像合法用 户一样进行同样的操作或在一定的时间内登录。 因为入侵者的活动不在已经建立的用户特征范围 内,其入侵活动将会被检测到