Unit4_入侵检测中数据的的的分析.pptVIP

入侵检测及扫描技术 —— 数据分析技术 主要内容 通用入侵检测模型 误用检测技术 异常检测技术 其他检测技术 通用入侵检测模型 1987年，Denning提出了一个抽象的通用入侵检测模型。 该模型主要由6部分构成：主体，对象，审计记录，活动简档，异常记录，活动规则。 IDES与它的后继版本NIDES都完全基于Denning的模型，但并不是所有的IDS都能够完全符合该模型。 通用入侵检测模型示意图 数据分析模型 数据分析是入侵检测的核心功能，主要有两种，即异常检测模型和误用检测模型。 功能是： 数据预处理：把收集到数据定制成统一的规范格式。 数据分类：将数据分成有入侵、无入侵和不确定 后期处理：和知识库进行对比 结果反馈和提炼：可以是报警、日志记录、自动响应或其他由操作员定义的动作。 入侵检测技术 1 误用检测技术 方法：首先对标识特定入侵的行为模式进行编码，建立误用模式库，然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵行为的知识。 缺点：只能检测已知的攻击模式。需要不断的、及时地升级。 主要包括： 简单模式匹配 专家系统 状态转移法 等 1.1 简单模式匹配 优点是：原理简单，实现、配置、维护方便，检测效率高； 缺点是：只适用于简单的攻击方式、误报率高； 代表系统： Snort：跨平台的网络IDS（NIDS）工具 Bro：由美国Lawrence Berkeley