41.5入侵跟踪技术 1、基础 互联网的各种协议的了解 在不同的网络层,主要的不同网络地址 跟踪电子邮件 简单邮件传输协议SMTP 跟踪发信者最好的办法就是对邮件中附加的头信 息中出现的整个路径作彻底的调査。 SMTP邮件服务器保存的日志记录信息审计
4.1.5 入侵跟踪技术 1、基础 ▪互联网的各种协议的了解 ▪在不同的网络层,主要的不同网络地址 2、跟踪电子邮件 ▪简单邮件传输协议SMTP ▪跟踪发信者最好的办法就是对邮件中附加的头信 息中出现的整个路径作彻底的调查。 ▪ SMTP邮件服务器保存的日志记录信息审计
3、跟踪 Usenet的信息传递 对消息中附加的头信息中出现的整个路径作 彻底的调查和审计日志信息。 第三方跟踪工具( Netscan pro) 5.蜜罐技术
3、跟踪Usenet的信息传递 对消息中附加的头信息中出现的整个路径作 彻底的调查和审计日志信息。 4.第三方跟踪工具 (Netscan Pro ) 5.蜜罐技术
入侵检测系统 (IDS)的分析 方法
4.2 入侵检测系统 (IDS)的分析 方法
入侵分析的任务就是在提取到的庞大数据 中找到入侵的痕迹。入侵分析过程需要将提取到 的事件与入侵检测规则等进行比较,从而发现入 侵行为。一方面入侵检测系统需要尽可能多地提 取数据以获得足够的入侵证据,而另一方面由于 入侵行为的千变万化而导致判定入侵的规则等越 来越复杂,为了保证入侵检测的效率和满足实时 性的要求,入侵分析必须在系统的性能和检测能 力之间进行权衡,合理地设计分析策略,并且可 能要牺牲一部分检测能力来保证系统可靠、稳定 地运行,并具有较快的响应速度。入侵检测分析 技术主要分为两类:异常检测和误用检测
入侵分析的任务就是在提取到的庞大数据 中找到入侵的痕迹。入侵分析过程需要将提取到 的事件与入侵检测规则等进行比较,从而发现入 侵行为。一方面入侵检测系统需要尽可能多地提 取数据以获得足够的入侵证据,而另一方面由于 入侵行为的千变万化而导致判定入侵的规则等越 来越复杂,为了保证入侵检测的效率和满足实时 性的要求,入侵分析必须在系统的性能和检测能 力之间进行权衡,合理地设计分析策略,并且可 能要牺牲一部分检测能力来保证系统可靠、稳定 地运行,并具有较快的响应速度。入侵检测分析 技术主要分为两类:异常检测和误用检测
421基于异常的入侵检测方法 本节重点讨论这种方法的原理和基本流程。需要 注意的是这个领域基本上是一个边缘学科,它的理 论基础包括人工智能、神经网络以及统计学等,由 于能力和篇幅的限制,我们无法一一介绍相关的理 论,基于异常的入侵检测方法主要来源于这样的思 想:任何人的正常行为都是有一定的规律的,并且 可以通过分析这些行为产生的日志信息(假定日志 信息足够完全)总结出这些规律,而入侵和滥用行 为则通常和正常的行为存在严重的差异,通过检查 出这些差异就可以检测出入侵。这样,我们就可以 检测出非法的入侵行为甚至是通过未知方法进行的 入侵行为。此外不属于入侵的异常用户行为(滥用 自己的权限)也能被检测到
4.2.1 基于异常的入侵检测方法 本节重点讨论这种方法的原理和基本流程。需要 注意的是这个领域基本上是一个边缘学科,它的理 论基础包括人工智能、神经网络以及统计学等,由 于能力和篇幅的限制,我们无法一一介绍相关的理 论,基于异常的入侵检测方法主要来源于这样的思 想:任何人的正常行为都是有一定的规律的,并且 可以通过分析这些行为产生的日志信息(假定日志 信息足够完全)总结出这些规律,而入侵和滥用行 为则通常和正常的行为存在严重的差异,通过检查 出这些差异就可以检测出入侵 。这样,我们就可以 检测出非法的入侵行为甚至是通过未知方法进行的 入侵行为。此外不属于入侵的异常用户行为(滥用 自己的权限)也能被检测到