入侵检测与安全审计系统.pptVIP

第六章 入侵检测与安全审计系统;;6.1 入侵检测系统;模型 最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图：; CIDF(通用入侵检测框架)标准——入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。 事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。;;6.1.2 入侵检测系统的特点 不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先 ;;;;; 工作流程 根据计算机审计记录文件产生代表用户会话行为的会话矢量，然后对这些会话矢量进行分析，计算出会话的异常值，当该值超过阈值便产生警告。;;步???2：产生伯努里矢量。 伯努里矢量B=b1,b2,…,bn是单一2值矢量，表示属性的数目是否在正常用户的阈值范围之外。阈值矢量T=t1,t2,…,tn表示每个属性的范围，其中ti是ti,min, ti,max形式的元组，代表第i个属性的范围。这样阈值矢量实际上构成了一张测量表。算法假设ti服从高斯分布(即：正态分布)。 产生伯努里矢量的方法就是用属性i的数值xi与测量表中相应的阈值范围比较，当超出范围时，bi被置1，否则bi置0。