第五章 入侵检测要点.pptVIP

入侵检测系统的分析方式 2.误用检测技术——基于知识的检测 1）误用检测技术入侵检测系统的基本原理 入侵模式库 检测到的事件 比较、匹配 入侵 入侵检测系统的分析方式 2.误用检测技术——基于知识的检测 2）误用检测技术的评价 误用检测技术有以下优点： 检测准确度高 技术相对成熟 便于进行系统防护 误用检测技术有以下缺点： 不能检测出新的入侵行为 完全依赖于入侵特征的有效性 维护特征库的工作量巨大 难以检测来自内部用户的攻击 入侵检测系统的分析方式 2.误用检测技术——基于知识的检测 3）误用检测技术的分类 专家系统误用检测。 用专家系统对入侵进行检测，经常是针对有特征的入侵行为。规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性以取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构，条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。 入侵检测系统的分析方式 2.误用检测技术——基于知识的检测 3）误用检测技术的分类 特征分析误用检测 特征分析误用检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报