中级通信互联网技术知识点精讲之入侵检测技术分析

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之入侵检测技术分析，希望能帮助学友们。具体内容如下：

       入侵检测技术分析

       1.技术分类

       入侵检测系统所采用的技术可分为特征检测与异常检测两种。

       (1)特征检测

       特征检测（Signature-baseddetection)又称为Misusedetection,这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将己有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计出相关模式，既能够刻画“入侵”现象，又不会将正常的活动包含进来。

       (2)异常检测

       异常检测（Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

       2.常用检测方法

       入侵检测系统常用的检测方法有特征检测、统计检测和希赛网系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基于日志的希赛网知识库系产品。

       (1)特征检测

       特征检测对己知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与希赛网系统相仿。其检测方法上与计算机病毒的检测方式类似。目前，基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

       (2)统计检测

       统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型如下。

       操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，例如，在短时间内的多次失败的登录很有可能是口令尝试攻击。

       方差：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常。

       多元模型：操作模型的扩展，通过同时分析多个参数实现检测。

       马尔柯夫过程模型：将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小时，则可能是异常事件。

       时间序列分析：将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。

       统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也可使入侵者通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

       3.希赛网系统

       希赛网系统对入侵进行检测针对有特征的入侵行为，即规则或知识。不同的系统与设置具有不同的规则，规则之间一般无通用性。希赛网系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是建立入侵检测希赛网系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构)，条件部分为入侵特征，then部分是系统防范措施。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲