完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性 。该方法能有效地防范特洛伊木马的攻击 。
3 分类及存在的问题入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用 。代写工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection) 。
3.1 异常检测
又称为基于行为的检测 。其基本前提是:假定所有的入侵行为都是异常的 。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵 。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法 。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等 。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征 。
2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的 。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高 。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素 。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新 。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效 。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高 。
3.2 误用检测
又称为基于知识的检测 。其基本前提是:假定所有可能的入侵行为都能被识别和表示 。首先,代写留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否 。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法 。
常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法 。误用检测的关键问题是攻击签名的正确表示 。
误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来 。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象 。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用 。
误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为 。由于只需要收集相关的数据,这样系统的负担明显减少 。该方法类似于病毒检测系统,其检测的准确率和效率都比较高 。但是它也存在一些缺点 。
3.2.1 不能检测未知的入侵行为
由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测 。也就是说漏警率比较高 。
3.2.2 与系统的相关性很强
对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库 。另外,误用检测技术也难以检测出内部人员的入侵行为 。
目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的 。不过,为了增强检测功能,不少产品也加入了异常检测的方法 。
4 入侵检测的发展方向随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视 。近年来,入侵检测有如下几个主要发展方向:
推荐阅读
- 计算机网络之数据交换技术
- 为什么会梦见外星人袭击自己 梦见外星人入侵
- 计算机网络常用的命令行指令
- 服务器突遭攻击,被勒索病毒入侵,和黑客的攻防战
- 天气严寒遭遇病毒入侵 用中医艾灸法防病
- 加拿大一枝黄花有没有毒,加拿大一枝黄花是外来入侵吗
- 5G之下的未来网络技术,北京劳动保障职业学院计算机网络技术专业
- 《庆余年》:以现代价值观"入侵"历史
- 服务器被黑,如何查找入侵、攻击痕迹呢?
- 微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防