第章入侵检测.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 1. 误用检测技术入侵检测系统的基本原理 误用检测技术（Misuse Detection）也称为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。 11.3.2 误用检测技术——基于知识的检测 2. 误用检测技术的评价 误用检测技术有以下优点： 检测准确度高； 技术相对成熟； 便于进行系统防护。 误用检测技术有以下缺点： 不能检测出新的入侵行为； 完全依赖于入侵特征的有效性； 维护特征库的工作量巨大； 难以检测来自内部用户的攻击。 3. 误用检测技术的分类 误用检测技术主要可分为以下几种。 （1） 专家系统误用检测 专家系统误用检测方法首先将安全专家的关于网络入侵行为的知识表示成一些类似IfThen的规则，并以这些规则为基础建立专家知识库。入侵检测系统将网络行为的审计数据事件进行转换，成为包含入侵警告程度的判断事实，然后通