第五章入侵检测技术 2.基于检测理论的分类 从具体的检测理论上来说,入侵检测又可分 为异常检测和误用检测。 异常检测( Anomaly detection)指根据使 用者的行为或资源使用状况的正常程度来判断是 否入侵,而不依赖于具体行为是否出现来检测。 误用检测( Misuse detection)指运用已知 攻击方法,根据已定义好的入侵模式,通过判断 这些入侵模式是否出现来检测 :返回本章首页
第五章 入侵检测技术 2.基于检测理论的分类 从具体的检测理论上来说,入侵检测又可分 为异常检测和误用检测。 异常检测(Anomaly Detection)指根据使 用者的行为或资源使用状况的正常程度来判断是 否入侵,而不依赖于具体行为是否出现来检测。 误用检测(Misuse Detection)指运用已知 攻击方法,根据已定义好的入侵模式,通过判断 这些入侵模式是否出现来检测。 返回本章首页
第五章入侵检测技术 3.基于检测时效的分类 IDS在处理数据的时候可以采用实时在线检 测方式,也可以采用批处理方式,定时对处理原 始数据进行离线检测,这两种方法各有特点(如 图5-5所示)。 离线检测方式将一段时间内的数据存储起来, 然后定时发给数据处理单元进行分析,如果在这 段时间内有攻击发生就报警。在线检测方式的实 时处理是大多数IDS所采用的办法,由于计算机 硬件速度的提高,使得对攻击的实时检测和响应 成为可能。 :返回本章首页
第五章 入侵检测技术 3.基于检测时效的分类 IDS在处理数据的时候可以采用实时在线检 测方式,也可以采用批处理方式,定时对处理原 始数据进行离线检测,这两种方法各有特点(如 图5-5所示)。 离线检测方式将一段时间内的数据存储起来, 然后定时发给数据处理单元进行分析,如果在这 段时间内有攻击发生就报警。在线检测方式的实 时处理是大多数IDS所采用的办法,由于计算机 硬件速度的提高,使得对攻击的实时检测和响应 成为可能。 返回本章首页
第五章入侵检测技术 囗囗囗 囗囗囗 囗囗囗 Y 口5-5a囗囗囗囗囗囗囗囗囗囗囗口 口b囗口囗囗囗口囗口口囗囗口口 :返回本章首页
第五章 入侵检测技术 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 Y N 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 5-5学 a学 学 学 学 学 学 学 学 学 学 学 学 学 学 b学 学 学 学 学 学 学 学 学 学 学 学 学 返回本章首页
第五章入侵检测技术 52入侵检测的技术实现 对于入侵检测的研究,从早期的审计跟踪数 据分析,到实时入侵检测系统,到目前应用于大 型网络的分布式检测系统,基本上已发展成为具 有一定规模和相应理论的研究领域。入侵检测的 核心问题在于如何对安全审计数据进行分析,以 检测其中是否包含入侵或异常行为的迹象。这里, 我们先从误用检测和异常检测两个方面介绍当前 关于入侵检测技术的主流技术实现,然后对其它 类型的检测技术作简要介绍 :返回本章首页
第五章 入侵检测技术 5.2 入侵检测的技术实现 对于入侵检测的研究,从早期的审计跟踪数 据分析,到实时入侵检测系统,到目前应用于大 型网络的分布式检测系统,基本上已发展成为具 有一定规模和相应理论的研究领域。入侵检测的 核心问题在于如何对安全审计数据进行分析,以 检测其中是否包含入侵或异常行为的迹象。这里, 我们先从误用检测和异常检测两个方面介绍当前 关于入侵检测技术的主流技术实现,然后对其它 类型的检测技术作简要介绍。 返回本章首页
第五章入侵检测技术 521入侵检测分析模型 分析是入侵检测的核心功能,它既能简单到 像一个已熟悉日志情况的管理员去建立决策表, 也能复杂得像一个集成了几百万个处理的非参数 系统。入侵检测的分析处理过程可分为三个阶段: 构建分析器,对实际现场数据进行分析,反馈和 提炼过程。其中,前两个阶段都包含三个功能: 数据处理、数据分类(数据可分为入侵指示、非 入侵指示或不确定)和后处理。 :返回本章首页
第五章 入侵检测技术 5.2.1 入侵检测分析模型 分析是入侵检测的核心功能,它既能简单到 像一个已熟悉日志情况的管理员去建立决策表, 也能复杂得像一个集成了几百万个处理的非参数 系统。入侵检测的分析处理过程可分为三个阶段: 构建分析器,对实际现场数据进行分析,反馈和 提炼过程。其中,前两个阶段都包含三个功能: 数据处理、数据分类(数据可分为入侵指示、非 入侵指示或不确定)和后处理。 返回本章首页