[网络安全与病毒防范]第六章 入侵检测与安全审计汇.pptVIP

优点 检测准确度较高 可以检测到没有明显行为特征的入侵 成本较低 不会因网络流量影响性能 适合加密和交换环境 缺点 实时性较差 无法检测数据包的全部 检测效果取决于日志系统 占用主机资源 隐蔽性较差 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 基于网络的入侵检测系统 作为一个独立的个体放置在被保护的网络上，使用原始的网络分组数据包作为进行攻击分析的数据源。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 优点 可以提供实时的网络行为检测 可以同时保护多台网络主机 具有良好的隐蔽性 有效保护入侵证据 不影响被保护主机的性能 缺点 防止入侵欺骗的能力较差 在交换式网络环境中难以配置 检测性能受硬件条件限制 不能处理加密后的数据 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 1.4 蜜罐技术 原理 蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易攻击的主机，给攻击者提供一个容易攻击的目标。 用来观测黑客如何探测并最终入侵系统； 用于拖延攻击者对真正目标的攻击。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Honeypot模型 关键 应用系统 内部网 虚拟网络主机 防火墙 高层交换 可疑数据流 Internet Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1 基于异常的入侵检测 也称为基于行为的检测技术，在总结出的正常行为规律基础上，检查入侵和滥用行为特征与其之间的差异，以此来判断是否有入侵行为。 基于统计学方法的异常检测系统 使用统计学的方法来学习和检测用户的行为。 预测模式生成法 利用动态的规则集来检测入侵。 神经网络方法 将神经网络用于对系统和用户行为的学习。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1.1 基于统计学的异常检测系统 步骤： Step1：收集样本 对系统和用户的行为按照一定的时间间隔进行采样，样本的内容包括每个会话的登录、退出情况，CPU和内存的占用情况，硬盘等存储介质的使用情况等。 Step2：分析样本 对每次采集到的样本进行计算，得出一系列的参数变量来对这些行为进行描述，从而产生行为轮廓，将每次采样后得到的行为轮廓与以后轮廓进行合并，最终得到系统和用户的正常行为轮廓。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. Step3：检查入侵行为 通过将当前采集到的行为轮廓与正常行为轮廓相比较，来检测是否存在网络入侵行为。 算法： M1,M2,…,Mn表示行为轮廓中的特征变量，S1,S2,…,Sn分别表示各个变量的异常性测量值，Si的值越大就表示异常性越大。ai表示变量Mi的权重值。将各个异常性测量值的平均加权求和得出特征值 然后选取阈值，例如选择标准偏差 其中均值取μ=M/n，如果S值超出了μ±dσ的范围就认为异常。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1.2 预测模式生成法 利用动态的规则集来检测入侵，这些规则是由系统的归纳引擎，根据已发生