入侵检测技术课件.pptVIP

4．非參數統計度量非參數統計方法通過使用非數據區分技術，尤其是群集分析技術來分析參數方法無法考慮的系統度量。群集分析的基本思想是，根據評估標準（也稱為特性）將收集到的大量歷史數據（一個樣本集）組織成群，通過預處理過程，將與具體事件流（經常映射為一個具體用戶）相關的特性轉化為向量表示，再採用群集演算法將彼此比較相近的向量成員組織成一個行為類，這樣使用該分析技術的實驗結果將會表明用何種方式構成的群可以可靠地對用戶的行為進行分組並識別。返回本章首頁5．基於規則的方法上面討論的異常檢測主要基於統計方法，異常檢測的另一個變種就是基於規則的方法。與統計方法不同的是基於規則的檢測使用規則集來表示和存儲使用模式。（1）WisdomSense方法（2）基於時間的引導機（TIM）返回本章首頁5.2.4其他檢測技術這些技術不能簡單地歸類為誤用檢測或是異常檢測，而是提供了一種有別於傳統入侵檢測視角的技術層次，例如免疫系統、基因演算法、數據挖掘、基於代理（Agent）的檢測等，它們或者提供了更具普遍意義的分析技術，或者提出了新的檢測系統架構，因此無論對於誤用檢測還是異常檢測來說，都可以得到很好的應用。返回本章首頁1．神經網路（NeuralNetwork）作為人工智慧（AI）的一個重要分支，神經網路（NeuralNetwork）在入侵檢測領域得到了很好的應用，它使用自適應學習技術來提取異常行為的特徵，需要對訓練數據集進行學習以得出正常的行為模式。這種方法要求保證用於學習正常模式的訓練數據的純潔性，即不包含任何入侵或異常的用戶行為。返回本章首頁2．免疫學方法NewMexico大學的StephanieForrest提出了將生物免疫機制引入電腦系統的安全保護框架中。免疫系統中最基本也是最重要的能力是識別“自我/非自我”（self/nonself），換句話講，它能夠識別哪些組織是屬於正常機體的，不屬於正常的就認為是異常，這個概念和入侵檢測中異常檢測的概念非常相似。返回本章首頁3．數據挖掘方法Columbia大學的WenkeLee在其博士論文中，提出了將數據挖掘（DataMining,DM）技術應用到入侵檢測中，通過對網路數據和主機系統調用數據的分析挖掘，發現誤用檢測規則或異常檢測模型。具體的工作包括利用數據挖掘中的關聯演算法和序列挖掘演算法提取用戶的行為模式，利用分類演算法對用戶行為和特權程式的系統調用進行分類預測。實驗結果表明，這種方法在入侵檢測領域有很好的應用前景。返回本章首頁4．基因演算法基因演算法是進化演算法（evolutionaryalgorithms）的一種，引入了達爾文在進化論中提出的自然選擇的概念（優勝劣汰、適者生存）對系統進行優化。該演算法對於處理多維繫統的優化是非常有效的。在基因演算法的研究人員看來，入侵檢測的過程可以抽象為：為審計事件記錄定義一種向量表示形式，這種向量或者對應於攻擊行為，或者代表正常行為。返回本章首頁5．基於代理的檢測近年來，一種基於Agent的檢測技術（Agent-BasedDetection）逐漸引起研究者的重視。所謂Agent，實際上可以看作是在執行某項特定監視任務的軟體實體。基於Agent的入侵檢測系統的靈活性保證它可以為保障系統的安全提供混合式的架構，綜合運用誤用檢測和異常檢測，從而彌補兩者各自的缺陷。返回本章首頁5.3分佈式入侵檢測分佈式入侵檢測（DistributedIntrusionDetection）是目前入侵檢測乃至整個網路安全領域的熱點之一。到目前為止，還沒有嚴格意義上的分佈式入侵檢測的商業化產品，但研究人員已經提出並完成了多個原型系統。通常採用的方法中，一種是對現有的IDS進行規模上的擴展，另一種則通過IDS之間的資訊共用來實現。具體的處理方法上也分為兩種：分佈式資訊收集、集中式處理；分佈式資訊收集、分佈式處理。返回本章首頁5.3.1分佈式入侵檢測的優勢分佈式入侵檢測由於採用了非集中的系統結構和處理方式，相對於傳統的單機IDS具有一些明顯的優勢：（1）檢測大範圍的攻擊行為（2）提高檢測的準確度（3）提高檢測效率（4）協調回應措施返回本章首頁5.3.2分佈式入侵檢測的技術難點與傳統的單機IDS相比較，分佈式入侵檢測系統具有明顯的優勢。然而，在實現分佈檢測組件