什么是入侵检测 2、入侵检测的分类 根据所采用的技术可以分为: 1)异常检测:异常检测的假设是入侵者活动 异常于正常主体的活动,建立正常活动的 “活动简档”,当前主体的活动违反其统计 规律时,认为可能是“入侵”行为 2)特征检测:特征检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体 活动是否符合这些模式
6 2、入侵检测的分类 一、什么是入侵检测 根据所采用的技术可以分为: 1)异常检测:异常检测的假设是入侵者活动 异常于正常主体的活动,建立正常活动的 “活动简档” ,当前主体的活动违反其统计 规律时,认为可能是“入侵”行为。 2)特征检测:特征检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体 活动是否符合这些模式
什么是入侵检测 2、入侵检测的分类 根据所监测的对象来分: 1)基于主机的入侵检测系统(HIDS):通过监视 与分析主机的审计记录检测入侵。能否及时采集到 审计是这些系统的弱点之一,入侵者会将主机审计 子系统作为攻击目标以避开入侵检测系统。 2)基于网络的入侵检测系统(NDS):通过在共 享网段上对通信数据的侦听采集数据,分析可疑现 象。这类系统不需要主机提供严格的审计,对主机 资源消耗少,并可以提供对网络通用的保护而无需 顾及异构主机的不同架构
7 2、入侵检测的分类 一、什么是入侵检测 根据所监测的对象来分: 1)基于主机的入侵检测系统(HIDS):通过监视 与分析主机的审计记录检测入侵。能否及时采集到 审计是这些系统的弱点之一,入侵者会将主机审计 子系统作为攻击目标以避开入侵检测系统。 2)基于网络的入侵检测系统(NIDS):通过在共 享网段上对通信数据的侦听采集数据,分析可疑现 象。这类系统不需要主机提供严格的审计,对主机 资源消耗少,并可以提供对网络通用的保护而无需 顾及异构主机的不同架构
什么是入侵检测 2、入侵检测的分类 根据系统的工作方式分为: 离线检测系统:离线检测系统是非实时工作的 系统,它在事后分析审计事件,从中检查入侵活动 2)在线检测系统:在线检测系统是实时联机的检 测系统,它包含对实时网络数据包分析,实时主机 审计分析。其工作过程是实时入侵检测在网络连接 过程中进行,系统根据用户的历史行为模型、存储 在计算机中的专家知识以及神经网络模型对用户当 前的操作进行判断,一旦发现入侵迹象立即断开入 侵者与主机的连接,并收集证据和实施数据恢复
8 2、入侵检测的分类 一、什么是入侵检测 根据系统的工作方式分为: 1)离线检测系统:离线检测系统是非实时工作的 系统,它在事后分析审计事件,从中检查入侵活动。 2)在线检测系统:在线检测系统是实时联机的检 测系统,它包含对实时网络数据包分析,实时主机 审计分析。其工作过程是实时入侵检测在网络连接 过程中进行,系统根据用户的历史行为模型、存储 在计算机中的专家知识以及神经网络模型对用户当 前的操作进行判断,一旦发现入侵迹象立即断开入 侵者与主机的连接,并收集证据和实施数据恢复
什么是入侵检测 3、信息收集 第一步是信息收集,包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点(网段 和主机)收集信息,这样做的理由就是从一个来源的 信息有可能看不出疑点,但从几个源来的信息的不 致性却是可疑行为或入侵的最好标识。 1系统和网络日志文件 2目录和文件中的不期望的改变 3程序执行中的不期望行为 4.物理形式的入侵信息
9 3、信息收集 一、什么是入侵检测 第一步是信息收集,包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点(网段 和主机)收集信息,这样做的理由就是从一个来源的 信息有可能看不出疑点,但从几个源来的信息的不一 致性却是可疑行为或入侵的最好标识。 1.系统和网络日志文件 2.目录和文件中的不期望的改变 3.程序执行中的不期望行为 4. 物理形式的入侵信息
什么是入侵检测 4、信号分析 对收集到的上述四类信息,通过三种技术手 段进行分析: 模式匹配:用于实时的入侵检测 统计分析:用于实时的入侵检测 完整性分析:用于事后分析
10 4、信号分析 一、什么是入侵检测 对收集到的上述四类信息,通过三种技术手 段进行分析: 模式匹配:用于实时的入侵检测 统计分析:用于实时的入侵检测 完整性分析:用于事后分析