|
|
知识路径: > 信息安全性知识 > 入侵检测与防范措施 > 入侵检测的方法 >
|
|
相关知识点:4个
|
|
|
|
|
入侵检测常用的检测方法有特征检测、统计检测、专家系统与文件完整性检查。
|
|
|
|
|
|
特征检测对已知的攻击或入侵方式做出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时即会报警。原理上与专家系统相仿。其检测方法与计算机病毒的检测方式类似。目前基于包特征描述的模式匹配应用得较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为却无能为力。
|
|
|
|
|
|
统计检测常使用异常检测,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测有以下5种统计模型。
|
|
|
|
①操作模型。该模型假设异常可通过测量结果与一些固定指标相比较而得到,固定指标可以根据经验值或一段时间内的统计平均值得到,例如在短时间内多次失败的登录很有可能是口令尝试攻击。
|
|
|
|
②方差。对计算参数的方差设定置信区间,当测量值超过置信区间的范围时就表明有可能是异常。
|
|
|
|
③多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
|
|
|
|
④马尔可夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵表示状态的变化,当一个事件发生或状态矩阵转移的概率较小时,就可能是异常事件。
|
|
|
|
⑤时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
|
|
|
|
|
|
用专家系统对入侵进行检测,经常是针对有特征的入侵行为。所谓的规则即知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征的入侵行为的有效性完全取决于专家系统知识库的完备性。
|
|
|
|
|
|
文件完整性检查系统检查计算机中自上次检查后文件的变化情况。文件完整性检查系统保存每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,则文件未发生变化。
|
|
|
|
文件的数字文摘通过Hash函数计算得到。不管文件长度如何,它的Hash函数计算结果都是一个固定长度的数字。与加密算法不同,Hash算法是一个不可逆的单向函数。采用安全性高的Hash算法,如MD5、SHA,两个不同的文件几乎不可能得到相同的Hash结果。从而,文件一旦被修改,就可以检测出来。在文件完整性检查中功能最全面的当属Tripwire。
|
|
|
