防御 Prevention) 事后分析 检测 Postmortem) (Detection) 调查 (Investigation) 图10.3安全系统管理模型 人民邮电出版补
图10.3 安全系统管理模型
保护 检测 信息保障 反应 恢复 图104信息保障的基本内容 人民邮电出版补
图10.4 信息保障的基本内容
102入侵检测原理 入侵检测和其他检测技术基于同样的原理, 即从一组数据中,检测出符合某一特点的数据。 10.2.1异常入侵检测原理 构筑异常检测原理的入侵检测系统,首先要 建立系统或用户的正常行为模式库,不属于该库 的行为被视为异常行为。 人民邮电出版社
10.2 入侵检测原理 入侵检测和其他检测技术基于同样的原理, 即从一组数据中,检测出符合某一特点的数据。 10.2.1 异常入侵检测原理 构筑异常检测原理的入侵检测系统,首先要 建立系统或用户的正常行为模式库,不属于该库 的行为被视为异常行为
但是,入侵性活动并不总是与异常活动相符合, 而是存在下列4种可能性。 (1)入侵性而非异常。 (2)非入侵性且异常。 (3)非入侵性非异常。 (4)入侵性且异常。 另外,设置异常的门槛值不当,往往会导致 IDS许多误报警或者漏检的现象,漏检对于重要的 安全系统来说是相当危险的,因为DS给安全管理 员造成了系统安全假象 人民邮电出版社
但是,入侵性活动并不总是与异常活动相符合, 而是存在下列4种可能性。 (1)入侵性而非异常。 (2)非入侵性且异常。 (3)非入侵性非异常。 (4)入侵性且异常。 另外,设置异常的门槛值不当,往往会导致 IDS许多误报警或者漏检的现象,漏检对于重要的 安全系统来说是相当危险的,因为IDS给安全管理 员造成了系统安全假象
10.22误用入侵检测原理 误用入侵检测依赖于模式库,误用入侵检测能 直接检测出模式库中已涵盖的入侵行为或不可接受 的行为,而异常入侵检测是发现同正常行为相违背 的行为。误用入侵检测的主要假设是具有能够被精 确地按某种方式编码的攻击。通过捕获攻击及重新 整理,可确认入侵活动是基于同一弱点进行攻击的 入侵方法的变种。误用入侵检测主要的局限性是仅 仅可检测已知的弱点,对检测未知的入侵可能用处 不大 人民邮电出版社
10.2.2 误用入侵检测原理 误用入侵检测依赖于模式库,误用入侵检测能 直接检测出模式库中已涵盖的入侵行为或不可接受 的行为,而异常入侵检测是发现同正常行为相违背 的行为。误用入侵检测的主要假设是具有能够被精 确地按某种方式编码的攻击。通过捕获攻击及重新 整理,可确认入侵活动是基于同一弱点进行攻击的 入侵方法的变种。误用入侵检测主要的局限性是仅 仅可检测已知的弱点,对检测未知的入侵可能用处 不大