1、6.1 入侵检测方法,6.1 入侵检测方法,入侵:包括发起攻击的人取得超出范围的系统控制权、收集漏洞信息,造成拒绝访问或对计算机危害的行为。入侵检测:是对入侵行为的发觉。它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统:指的是任何有能力检测系统或网络状态改变的系统或系统的集合,它能发送警报或采取预先设置好的行动来帮助保护网络。,6.1 入侵检测方法,6.1.1 异常入侵检测技术异常检测(Anomaly Detection)技术是运行在系统层或应用层的监控程序通过将当前主体的活动情况和用户轮廓进行比较来监控用户
2、的行为。错报(False Positive):系统错误地将异常活动定义为入侵。漏报(False Negative):系统未能检测出真正的入侵行为。,6.1 入侵检测方法,6.1.1 异常入侵检测技术异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的人侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,难以配置,异常检测经常会出现错报和漏报情况。,6.1 入侵检测方法,6.1.2 误用入侵检测技术误用检测(Misuse Detection)的前提是首先提取已知入侵行为的特征,建立入侵特征库,然后将当前用户或系统行为与入侵特征库中的记录进行匹配,如果相匹配就认为当前用户或系统行为是入侵,否则人侵检测系统认为是正常行为。,6.1 入侵检测方法,6.1.2 误用入侵检测技术通过误用入侵检测技术可以看出,其缺点是漏报率会增加,因为当新的入侵行为出现或入侵特征发生细微变化,误用检测技术将无法检测出入侵行为。,
