安全审核与风险解释.ppt

入侵检测系统常用的检测方法 入侵检测系统常用的检测方法有： 特征检测 统计检测 专家系统 文件完整性检查 入侵检测系统常用的检测方法 特征检测 特征检测对已知的攻击或入侵的方式做出正确性的描述，形成相应的事件模式 检测方法上与计算机病毒的检测方式类似 应用广泛 预报检测的准确率较高 入侵检测系统常用的检测方法 统计检测 统计模型常为异常检测 在统计模型中常用的测量参数包括： 审核事件的数量 间隔时间 资源消耗情况 常用的入侵检测5种统计模型为： 操作模型 方差 多元模型 马尔柯夫过程模型 时间序列分析 入侵检测系统常用的检测方法 专家系统 专家系统是基于一套由专家经验事先定义的规则的推理系统。 专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审核记录的完备性和实时性。 专家系统对系统的适应性比较强，可以较灵活地适应广谱的安全策略和检测需求。 入侵检测系统常用的检测方法 文件完整性检查 文件完整性检查是指系统检查计算机中自上次检查后文件变化的情况 文件完整性检查系统的优点 文件完整性检查系统的弱点 基于内核的入侵检测系统（LIDS） 什么是LIDS 基于Linux内核的入侵检测和预防系统 LIDS的三点特性 入侵防护 入侵监测 入侵响应 基于内核的入侵检测系统（LIDS） LIDS文档工