本文介绍了入侵检测系统(IDS)的基本概念,包括事件产生器、事件分析器、响应单元和事件数据库等组件。重点阐述了基于误用和异常的两种入侵检测技术,如基于条件概率、状态迁移、键盘监控和规则的误用检测,以及基于系统资源统计分析的异常检测。同时,讨论了不同类型的IDS,如主机、网络和分布式系统,并提到了UTM和APT等高级安全解决方案。入侵检测的关键性能指标包括可靠性、可用性、可扩展性等。此外,还列举了相关产品和其技术指标。
入侵检测概述
入侵的判定:对目标的操作超出目标的安全策略范围。
入侵检测系统(IDS)
通用入侵检测框架模型(CIDF)
组成:事件产生器、事件分析器、响应单元和事件数据库。
入侵检测技术
💮基于误用的入侵检测技术(基于特征):
根据已知的入侵模式检测入侵行为,这类漏洞的攻击方法具有某种特征,依赖于攻击模式库,检测能力取决于攻击模式库的大小以及攻击方法的覆盖面。
前提条件:入侵行为能够按某种方式进行特征编码,入侵检测相当于模式匹配过程。
分类:
| 名称 | 描述 |
|---|---|
| 基于条件概率的误用检测 | 入侵方式对应事件序列,观测序列,应用贝叶斯定理进行推理 |
| 基于状态迁移的误用检测 | 特征攻击使用状态图表示,攻击者的操作导致状态迁移 |
| 基于键盘监控的误用检测 | 入侵行为对应特定的击键序列模式 |
| 基于规则的误用检测 | 攻击行为或入侵模式表示成一种规则,符合即为入侵。优点:检测简单。缺点:受到规则库的限制,无法发现新的攻击。Snort是典型应用实例 |
💮基于异常的入侵检测技术:
通过计算机或网络资源统计分析,建立
最低0.47元/天 解锁文章
扫一扫
725
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
