网络安全原理与技术(第二版) 教学课件 ppt 作者 冯登国 徐静chapter7b.pptVIP

思想：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为。 ? 重要问题： – （1）如何全面的描述攻击的特征 – （2）如何排除干扰，减小误报 基于专家系统误用入侵检测方法 首先使用类似于IF-THEN的规则格式输入已有的攻击模式，然后输入检测数据，系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为模式。 专家系统中的攻击知识通常使用IF-THEN的语法规则表示。用来表示攻击发生的条件排列在规则的左边，当条件满足时，系统采取规则右边所给出的动作。 基于专家系统误用入侵检测方法 专家系统的优点是把系统的推理控制过程和问题的最终解答相分离，即用户不需要理解或干预专家系统内部的推理过程，只须把专家系统看作是一个自治的黑盒。 许多经典的检测模型都采用这种方法。美国国家航空和宇宙航行局开发的CLIPS系统是一实例。 基于专家系统误用入侵检测方法 存在的问题是： （1）缺乏处理序列数据的能力，即数据 前后的相关性问题。 （2）无法处理判断的不确定性。 （3）维护专家规则库是一件很困难的事情，无论添加还是删除某一条规则都必须考虑对其他规则的影响。 状态迁移分析误用入侵检测方法 将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的条件断言（事件）。攻击者获得的权限或者攻击成