入侵检测与安全审计系统.pptxVIP

第六章

入侵检测与安全审计系统;;6.1入侵检测系统;模型

最早入侵检测模型是由Denning给出，该模型主要依据主机系统审计统计数据，生成相关系统若干轮廓，并监测轮廓改变差异发觉系统入侵行为，以下列图：; CIDF(通用入侵检测框架)标准——入侵检测系统通用模型，处理不一样IDS之间互操作和共存问题。

事件——IDS需要分析数据，能够是网络中数据包，也能够是从系统日志等其它路径得到信息。;;6.1.2入侵检测系统特点

不需要人工干预即可不间断运行

有容错能力

不需要占用大量系统资源

能够发觉异常操作

能够适应系统行为长久改变

判断正确

灵活定制

保持领先

;;;;;

工作流程

依据计算机审计统计文件产生代表用户会话行为会话矢量，然后对这些会话矢量进行分析，计算出会话异常值，当该值超出阈值便产生警告。;;步骤2：产生伯努里矢量。

伯努里矢量B=b1,b2,…,bn是单一2值矢量，表示属性数目是否在正惯用户阈值范围之外。阈值矢量T=t1,t2,…,tn表示每个属性范围，其中ti是ti,min,ti,max形式元组，代表第i个属性范围。这么阈值矢量实际上组成了一张测量表。算法假设ti服从高斯分布(即：正态分布)。

产生伯努里矢量方法就是用属性i数值xi与测量表中对应阈值范围比较，当超出范围时，bi被置1，不然bi置0。产生伯努里矢量函数可描述为：

;;;;该模型存在