2、入侵者特征 这种方法类似于在公共安全中对某些类型 犯罪分子的特征。当外界用户或入侵者试 图访问某个计算机系统时会进行某些特殊 的活动或使用特殊办法,如果这些活动能 够予以描述并作为对入侵者的描述,入侵 活动就能够被检测到。入侵者活动的一个 典型情况是,当他获得系统的访问权时, 通常会立即查看还有哪些用户登录在系统 然后他可能会检查文件系统和浏览目录结 构,偶然会打开文件
2、入侵者特征 • 这种方法类似于在公共安全中对某些类型 犯罪分子的特征。当外界用户或入侵者试 图访问某个计算机系统时会进行某些特殊 的活动或使用特殊办法,如果这些活动能 够予以描述并作为对入侵者的描述,入侵 活动就能够被检测到。入侵者活动的一个 典型情况是,当他获得系统的访问权时, 通常会立即查看还有哪些用户登录在系统。 然后他可能会检查文件系统和浏览目录结 构,偶然会打开文件
3、基于活动 另一种识别入侵活动的办法是基于入侵活动 的检测,因为入侵者入侵系统时要进行某些 已知的、具有共性的操作。例如,入侵UNIX 系统时入侵者通常要试图获得根(root)权限。 所以,任何企图获得根权限的活动都要被检 测。 个与此相同的办法是检测利用系统漏洞的 企图。现有的系统和应用软件中有许多漏洞 可以被有经验的入侵者利用去攻击系统
3、基于活动 • 另一种识别入侵活动的办法是基于入侵活动 的检测,因为入侵者入侵系统时要进行某些 已知的、具有共性的操作。例如,入侵UNIX 系统时入侵者通常要试图获得根(root)权限。 所以,任何企图获得根权限的活动都要被检 测。 • 一个与此相同的办法是检测利用系统漏洞的 企图。现有的系统和应用软件中有许多漏洞 可以被有经验的入侵者利用去攻击系统
异常入侵检测方法 异常入侵检测的主要前提条件是入侵性活 动作为异常活动的子集。理想状况是异常 活动集同入侵性活动集等同。这样,若能 检测所有的异常活动,则就能检测所有的 入侵性活动。可是,入侵性活动并不总是 与异常活动相符合。活动存在四种可能性: (1)入侵性而非异常;(2)非入侵性且是异常 的;(3)非入侵性且非异常;(4)入侵且异常
二、异常入侵检测方法 • 异常入侵检测的主要前提条件是入侵性活 动作为异常活动的子集。理想状况是异常 活动集同入侵性活动集等同。这样,若能 检测所有的异常活动,则就能检测所有的 入侵性活动。可是,入侵性活动并不总是 与异常活动相符合。活动存在四种可能性: (1)入侵性而非异常;(2)非入侵性且是异常 的;(3)非入侵性且非异常;(4)入侵且异常
异常入侵要解决的问题就是构造异常活动 集并从中发现入侵性活动子集。异常入侵 检测方法依赖于异常模型的建立,不同模 型就构成不同的检测方法。 异常检测通过观测到的一组测量值偏离度 来预测用户行为的变化,然后作出决策判 断
• 异常入侵要解决的问题就是构造异常活动 集并从中发现入侵性活动子集。异常入侵 检测方法依赖于异常模型的建立,不同模 型就构成不同的检测方法。 • 异常检测通过观测到的一组测量值偏离度 来预测用户行为的变化,然后作出决策判 断
1、统计异常检测方法 统计异常检测方法根据异常检测器观察主 体的活动,然后产生刻画这些活动的行为 的轮廓。每一个轮廓保存记录主体当前行 为,并定时地将当前的轮廓与存储的轮廓 合并。通过比较当前的轮廓与己存储的轮 廓来判断异常行为,从而检测出网络入侵
1、统计异常检测方法 • 统计异常检测方法根据异常检测器观察主 体的活动,然后产生刻画这些活动的行为 的轮廓。每一个轮廓保存记录主体当前行 为,并定时地将当前的轮廓与存储的轮廓 合并。通过比较当前的轮廓与己存储的轮 廓来判断异常行为,从而检测出网络入侵