入侵檢測系統的檢測方法,簡述入侵檢測常用的四種方法

2021-03-03 22:04:37 字數 4422 閱讀 6022

1樓:破碎的夢

在異常入侵檢測系統中常常採用以下幾種檢測方法: 基於貝葉斯推理檢測法:是通過在任何給定的時刻,測量變數值,推理判斷系統是否發生入侵事件。

  基於特徵選擇檢測法:指從一組度量中挑選出能檢測入侵的度量,用它來對入侵行為進行**或分類。   基於貝葉斯網路檢測法:

用圖形方式表示隨機變數之間的關係。通過指定的與鄰接節點相關一個小的概率集來計算隨機變數的聯接概率分佈。按給定全部節點組合,所有根節點的先驗概率和非根節點概率構成這個集。

貝葉斯網路是一個有向圖,弧表示父、子結點之間的依賴關係。當隨機變數的值變為已知時,就允許將它吸收為證據,為其他的剩餘隨機變數條件值判斷提供計算框架。

基於模式**的檢測法:事件序列不是隨機發生的而是遵循某種可辨別的模式是基於模式**的異常檢測法的假設條件,其特點是事件序列及相互聯絡被考慮到了,只關心少數相關安全事件是該檢測法的最大優點。   基於統計的異常檢測法:

是根據使用者物件的活動為每個使用者都建立一個特徵輪廓表,通過對當前特徵與以前已經建立的特徵進行比較,來判斷當前行為的異常性。使用者特徵輪廓表要根據審計記錄情況不斷更新,其保護去多衡量指標,這些指標值要根據經驗值或一段時間內的統計而得到。   基於機器學習檢測法:

是根據離散資料臨時序列學習獲得網路、系統和個體的行為特徵,並提出了一個例項學習法ibl,ibl是基於相似度,該方法通過新的序列相似度計算將原始資料(如離散事件流和無序的記錄)轉化成可度量的空間。然後,應用ibl學習技術和一種新的基於序列的分類方法,發現異常型別事件,從而檢測入侵行為。其中,成員分類的概率由閾值的選取來決定。

資料探勘檢測法:資料探勘的目的是要從海量的資料中提取出有用的資料資訊。網路中會有大量的審計記錄存在,審計記錄大多都是以檔案形式存放的。

如果靠手工方法來發現記錄中的異常現象是遠遠不夠的,所以將資料探勘技術應用於入侵檢測中,可以從審計資料中提取有用的知識,然後用這些知識區檢測異常入侵和已知的入侵。採用的方法有kdd演算法,其優點是善於處理大量資料的能力與資料關聯分析的能力,但是實時性較差。

基於應用模式的異常檢測法:該方法是根據服務請求型別、服務請求長度、服務請求包大小分佈計算網路服務的異常值。通過實時計算的異常值和所訓練的閾值比較,從而發現異常行為。

基於文字分類的異常檢測法:該方法是將系統產生的程序呼叫集合轉換為「文件」。利用k鄰聚類文字分類演算法,計算文件的相似性。

誤用入侵檢測系統中常用的檢測方法有:   模式匹配法:是常常被用於入侵檢測技術中。

它是通過把收集到的資訊與網路入侵和系統誤用模式資料庫中的已知資訊進行比較,從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔,有較高的檢測率和準確率。   專家系統法:

這個方法的思想是把安全專家的知識表示成規則知識庫,再用推理演算法檢測入侵。主要是針對有特徵的入侵行為。   基於狀態轉移分析的檢測法:

該方法的基本思想是將攻擊看成一個連續的、分步驟的並且各個步驟之間有一定的關聯的過程。在網路中發生入侵時及時阻斷入侵行為,防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中,一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。

簡述入侵檢測常用的四種方法 5

2樓:wuli小亮仔

入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。

1、特徵檢測

特徵檢測(signature-based detection) 又稱misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。

它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。

2、異常檢測

異常檢測(anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。

異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。

擴充套件資料

入侵分類:

1、基於主機

一般主要使用作業系統的審計、跟蹤日誌作為資料來源,某些也會主動與主機系統進行互動以獲得不存在於系統日誌中的資訊以檢測入侵。

這種型別的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能準確定位入侵併及時進行反應,但是佔用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊。

2、基於網路

通過被動地監聽網路上傳輸的原始流量,對獲取的網路資料進行處理,從中提取有用的資訊,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。

此類檢測系統不依賴作業系統作為檢測資源,可應用於不同的作業系統平臺;配置簡單,不需要任何特殊的審計和登入機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。

但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。

3、分散式

這種入侵檢測系統一般為分散式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的資料流,判斷被保護系統是否受到攻擊。

3樓:下個id我們再見

1)特徵檢測

特徵檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應的事件模式。當被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與專家系統相仿。

其檢測方法上與計算機病毒的檢測方式類似。目前基於對包特徵描述的模式匹配應用較為廣泛。該方法預報檢測的準確率較高,但對於無經驗知識的入侵與攻擊行為無能為力。

2)統計檢測

統計模型常用異常檢測,在統計模型中常用的測量引數包括:審計事件的數量、間隔時間、資源消耗情況等。

統計方法的最大優點是它可以「學習」使用者的使用習慣,從而具有較高檢出率與可用性。但是它的「學習」能力也給入侵者以機會通過逐步「訓練」使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。

3)專家系統

用專家系統對入侵進行檢測,經常是針對有特徵入侵行為。所謂的規則,即是知識,不同的系統與設定具有不同的規則,且規則之間往往無通用性。專家系統的建立依賴於知識庫的完備性,知識庫的完備性又取決於審計記錄的完備性與實時性。

入侵的特徵抽取與表達,是入侵檢測專家系統的關鍵。在系統實現中,將有關入侵的知識轉化為if-then結構(也可以是複合結構),條件部分為入侵特徵,then部分是系統防範措施。運用專家系統防範有特徵入侵行為的有效性完全取決於專家系統知識庫的完備性。

4)檔案完整性檢查

檔案完整性檢查系統檢查計算機中自上次檢查後檔案變化情況。檔案完整性檢查系統儲存有每個檔案的數字文摘資料庫,每次檢查時,它重新計算檔案的數字文摘並將它與資料庫中的值相比較,如不同,則檔案已被修改,若相同,檔案則未發生變化。

檔案的數字文摘通過hash函式計算得到。不管檔案長度如何,它的hash函式計算結果是一個固定長度的數字。與加密演算法不同,hash演算法是一個不可逆的單向函式。

採用安全性高的hash演算法,如md5、sha時,兩個不同的檔案幾乎不可能得到相同的hash結果。從而,當檔案一被修改,就可檢測出來。在檔案完整性檢查中功能最全面的當屬tripwire。

4樓:暴走少爺

★複製別人的供你參考★基礎:

入侵檢測系統可以分為哪幾類?

5樓:各種怪

分為兩類:

1、資訊**一類:基於主機ids和基於網路的ids。

2、檢測方法一類:異常入侵檢測和誤用入侵檢測。

入侵檢測系統(intrusion detection system,簡稱「ids」)是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全裝置。它與其他網路安全裝置的不同之處便在於,ids是一種積極主動的安全防護技術。

ids最早出現在2023年4月。 2023年代中期,ids逐漸發展成為入侵檢測專家系統(ides)。 2023年,ids分化為基於網路的ids和基於主機的ids。

後又出現分散式ids。目前,ids發展迅速,已有人宣稱ids可以完全取代防火牆。

6樓:科學普及交流

一、根據資訊**可分為基於主機ids和基於網路的ids,

二、根據檢測方法又可分為異常入侵檢測和誤用入侵檢測。

入侵檢測系統分為四個元件:

1.事件產生器(event generators),它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。

2.事件分析器(event analyzers),它經過分析得到資料,併產生分析結果。

3.響應單元(response units ),它是對分析結果作出反應的功能單元,它可以作出切斷連線、改變檔案屬性等強烈反應,也可以只是簡單的報警。

4.事件資料庫(event databases )事件資料庫是存放各種中間和最終資料的地方的統稱,它可以是複雜的資料庫,也可以是簡單的文字檔案。

入侵檢測系統的基本功能是什麼,入侵檢測系統可以分為哪幾類?

入侵檢測 intrusion detection 顧名思義,就是對入侵行為的發覺。他通過對計算機網路或計算機系統中若干關鍵點收集資訊並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測 intrusion detection 是對入侵行為的檢測。它通過收集和分析網路行...

簡述互感濾波器的檢測方法?

與 互容的測量 的固定方式相同,兩個碳膜電阻的中心間距。兩個電阻的右端都接地,而測量電纜的輸入和輸出端分別接在每個電阻的左端,電阻ra作為訊號源的端接。訊號源上公升時間為800ps。輸入和輸出電纜與電阻垂直連線。垂直連線可以盡可能地使電纜相互隔離,減少直接的饋通。脈衝發生器使用了反向端接。圖顯示了從電...

甲醛檢測的檢測方法,如何檢測甲醛 方法?

室內空氣環境內甲醛含量甲醛檢 測可分為 1 ahmt 分光光度法 分光光度法測定的主要方法有乙 醯丙酮法 鉻變酸法 mbth法 副品紅法 ahmt 法等幾種。1.1乙醯丙酮法 乙醯丙酮法原理是利用甲醛與乙醯丙酮及氨生成黃色化合物二乙醯基二氫盧剔啶後 412nm下進行分光光度測定。此法最大的優點是操作...