入侵检测工作流程 网络安全 NETWORK SECURITY 1.信息收集:入侵检测的第一步是信息收集,内 容包括网络流量、用户连接活动等。 2.信息分析:一般通过三种技术手段进行信息分 析:模式匹配,统计分析和完整性分析。 3.实时记录、报警或有限度反击:IDS根本的任 务是要对入侵行为做出适当的反应,这些反应 包括详细日志记录、实时报警和有限度的反击 攻击源
17 入侵检测工作流程 1. 信息收集:入侵检测的第一步是信息收集,内 容包括网络流量、用户连接活动等。 2. 信息分析:一般通过三种技术手段进行信息分 析:模式匹配,统计分析和完整性分析。 3. 实时记录、报警或有限度反击:IDS根本的任 务是要对入侵行为做出适当的反应,这些反应 包括详细日志记录、实时报警和有限度的反击 攻击源
入侵检测性能关键参数 网络安全 NETWORK SECURITY 误报(false positive):实际无害的事件却被 IDS检测为攻击事件 。 漏报(false negative):一个攻击事件未被 IDS检测到或被分析人员认为是无害的
18 入侵检测性能关键参数 •误报(false positive):实际无害的事件却被 IDS检测为攻击事件。 •漏报(false negative):一个攻击事件未被 IDS检测到或被分析人员认为是无害的
入侵检测的分类 网络安全 NETWORK SECURITY ·按照分析方法/检测原理 ·异常检测和误用检测 ● 按照数据来源 ■基于主机和基于网络 ● 按照体系结构 ■集中式和分布式 ●按照工作方式 ·离线和在线
19 入侵检测的分类 •按照分析方法/检测原理 n 异常检测和误用检测 •按照数据来源 n 基于主机和基于网络 •按照体系结构 n 集中式和分布式 •按照工作方式 n 离线和在线
入侵检测的分类(1) 网络安全 NETWORK SECURITY 按照分析方法/检测原理 ■异常检测(Anomaly Detection):首先总结正常 操作应该具有的特征(用户轮廓),试图用定量的 方式加以描述,当用户活动与正常行为有重大偏离 时即被认为是入侵。 ■误用检测(Misuse Detection):收集非正常操作 的行为特征,建立相关的特征库,当监测的用户或 系统行为与库中的记录相匹配时,系统就认为这种 行为是入侵
20 入侵检测的分类(1) •按照分析方法/检测原理 n 异常检测(Anomaly Detection ):首先总结正常 操作应该具有的特征(用户轮廓),试图用定量的 方式加以描述,当用户活动与正常行为有重大偏离 时即被认为是入侵。 n 误用检测(Misuse Detection):收集非正常操作 的行为特征,建立相关的特征库,当监测的用户或 系统行为与库中的记录相匹配时,系统就认为这种 行为是入侵
异常检测 网络安全 NETWORK SECURITY 前提:入侵是异常活动的子集 ● 用户轮廓(Profile):通常定义为各种行为参数 及其阀值的集合,用于描述正常行为范围 ●过程: 监控 量化 比较 判定 修正 ·指标:漏报率低误报率高
21 异常检测 •前提:入侵是异常活动的子集 •用户轮廓(Profile): 通常定义为各种行为参数 及其阀值的集合,用于描述正常行为范围 •过程: •指标:漏报率低,误报率高 监控 量化 比较 判定 修正