什么是入侵检测 4、信号分析 1.模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背安 全策略的行为 优点:只需收集相关的数据集合,显著减少系统负 担,且技术已相当成熟。它与病毒防火墙采用的方 法一样,检测准确率和效率都相当髙。 缺点:需要不断的升级以对付不断出现的黑客攻击 手法,不能检测到从未出现过的黑客攻击手段
11 4、信号分析 一、什么是入侵检测 1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背安 全策略的行为。 优点:只需收集相关的数据集合,显著减少系统负 担,且技术已相当成熟。它与病毒防火墙采用的方 法一样,检测准确率和效率都相当高。 缺点:需要不断的升级以对付不断出现的黑客攻击 手法,不能检测到从未出现过的黑客攻击手段
什么是入侵检测 4、信号分析 2统计分析 对系统对象(如用户、文件、目录和设备等)创建 个统计描述,统计正常使用时的一些测量属性(如访 问次数、操作失败次数和延时等)。测量属性的平均 值与网络、系统的行为进行比较,任何观察值在正常 值范围之外时,就认为有入侵发生。例如,某帐户突 然在凌晨两点试图登录。 优点:可检测到未知的入侵和更为复杂的入侵 缺点:误报、漏报率高,不适应用户正常行为的突然 改变。统计分析方法如基于专家系统的、基于模型推 理的和基于神经网络的分析方法
12 4、信号分析 一、什么是入侵检测 2.统计分析 对系统对象(如用户、文件、目录和设备等)创建一 个统计描述,统计正常使用时的一些测量属性(如访 问次数、操作失败次数和延时等)。测量属性的平均 值与网络、系统的行为进行比较,任何观察值在正常 值范围之外时,就认为有入侵发生。例如,某帐户突 然在凌晨两点试图登录。 优点:可检测到未知的入侵和更为复杂的入侵 缺点:误报、漏报率高,不适应用户正常行为的突然 改变。统计分析方法如基于专家系统的、基于模型推 理的和基于神经网络的分析方法
什么是入侵检测 3.完整性分析:利用消息摘要Hash函数计算 完整性分析关注某个文件或对象是否被更改, 包括文件和目录的内容及属性,它在发现被木 马、病毒更改的应用程序方面特别有效。检查 系统保存有每个文件的数字摘要数据库,通过 重新计算文件的数字文摘并与数据库中的值相 比较来判断文件是否被修改。 优点:攻克文件完整性检査系统,无论是时间 上还是空间上都是不可能的 配置灵活,可以有选择地监测重要文件
13 一、什么是入侵检测 3.完整性分析:利用消息摘要Hash函数计算 完整性分析关注某个文件或对象是否被更改, 包括文件和目录的内容及属性,它在发现被木 马、病毒更改的应用程序方面特别有效。检查 系统保存有每个文件的数字摘要数据库,通过 重新计算文件的数字文摘并与数据库中的值相 比较来判断文件是否被修改。 优点:攻克文件完整性检查系统,无论是时间 上还是空间上都是不可能的。 配置灵活,可以有选择地监测重要文件