第十二讲侵检测技术.ppt

* 异常检测方法 ? 统计异常检测 ? 基于特征选择异常检测 ? 基于贝叶斯推理异常检测 ? 基于贝叶斯网络异常检测 ? 基于神经网络异常检测 ? 基于贝叶斯聚类异常检测 ? 基于机器学习异常检测 ? 基于数据挖掘异常检测 二、入侵检测系统的设计原理 入侵检测系统的入侵检测方法 误用检测方法 基于专家系统误用检测 基于特征分析误用检测 基于模型推理误用检测 基于条件概率误用检测 基于状态迁移误用检测 基于键盘监控误用检测 * 二、入侵检测系统的设计原理 专家系统误用检测 专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表示成一些类似 If-Then的规则，并以这些规则为基础建立专家知识库。规则中的If部分说明形成网络入侵的必需条件，Then部分说明发现入侵后要实施的操作。 入侵检测系统将网络行为的审计数据事件进行转换，成为包含入侵警告程度的判断事实，然后通过推理引擎进行入侵检测，当If中的条件全部满足或者在一定程度上满足时，Then中的动作就会被执行。 二、入侵检测系统的设计原理 专家系统误用检测需要处理大量的审计数据并且依赖于审计追踪的次序，在目前的条件下处理速度难以保证。 同时，对于各种网络攻击行为知识进行规则化描述的精度有待提高，审计数据有时不能提供足够的检测所需的信息。 专家系统只能检测出以往发现过的入侵行为，要检测出新的入侵，必须及时添加新的规则，维