| 入侵检测的主要方法有静态配置分析、异常性检测方法、基于行为的检测方法。
|
|
|
|
|
| 静态配置分析通过检查系统的当前系统配置,如系统文件的内容或系统表,来检查系统是否已经或可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息),而不是系统中的活动。
|
|
|
| 采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,这可通过检查系统的状态检测出来;系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施;另外系统在遭受攻击后,入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。
|
|
|
| 所以静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。
|
|
|
|
|
| 异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是在许多环境中,为用户建立正常行为模式的特征轮廓及对用户活动的异常性进行报警的门限值的确定都是比较困难的事,所以仅使用异常性检测技术不可能检测出所有的入侵行为。
|
|
|
| 目前这类IDS多采用统计,或者基于规则描述的方法,建立系统主体的行为特征轮廓:
|
|
|
| (1)统计性特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述,如SRI的下一代实时入侵检测专家系统,这种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效。
|
|
|
| (2)基于规则描述的特征轮廓,由一组用于描述主体每个特征的合法取值范围与其他特征的取值之间关系的规则组成(如TIM)。该方案还可以采用从大型数据库中提取规则的数据挖掘技术。
|
|
|
| (3)神经网络方法具有自学习、自适应能力,可以通过自学习提取正常的用户或系统活动的特征模式,避开选择统计特征这一难题。
|
|
|
|
|
| 通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。
|
|
|
| 目前基于行为的IDS只是在表示入侵模式(签名)的方式以及在系统的审计中检查入侵签名的机制上有所区别,主要可以分为基于专家系统、基于状态迁移分析和基于模式匹配等几类。这些方法的主要局限在于,只是根据已知的入侵序列和系统缺陷模式来检测系统中的可疑行为,而不能检测新的入侵攻击行为以及未知的、潜在的系统缺陷。
|
|
|
| 入侵检测方法虽然能够在某些方面取得好的效果,但总体看来各有不足,因而越来越多的IDS都同时采用几种方法,以互补不足,共同完成检测任务。
|
|
|
京公网安备 11010502032051号 | 营业执照