>>>>点击进入全国通信专业技术人员水平考试报名时间及成绩查询专题
2018年通信互联网技术考试备考在即,为了帮助考生们更好地复习,下面是小编为大家整理的2018年通信设备环境考试重要知识点之入侵检测技术分析。希望能帮助大家。想了解更多相关资讯请关注希赛网。
一、技术分类
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1.特征检测
特征检测(Signature-baseddetection)又称为Misusedetection,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将己有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计出相关模式,既能够刻画“入侵”现象,又不会将正常的活动包含进来。
2.异常检测
异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
二、常用检测方法
入侵检测系统常用的检测方法有统计检测、特征检测和希赛网系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的希赛网知识库系产品。
1.统计检测
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型如下。
操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,例如,在短时间内的多次失败的登录很有可能是口令尝试攻击。
2.特征检测
特征检测对己知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与希赛网系统相仿。其检测方法上与计算机病毒的检测方式类似。目前,基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
3.希赛网系统
希赛网系统对入侵进行检测针对有特征的入侵行为,即规则或知识。不同的系统与设置具有不同的规则,规则之间一般无通用性。希赛网系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是建立入侵检测希赛网系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。
希赛至今已有9年的通信培训经验,拥有多名经验丰富的全职教师,希赛开设的通信互联网技术网络课堂课堂晚上和周末上课,错过直播或没听懂还有录播视频可以反复学习和理解,助您工作之余也能轻松备考。