入侵检测技术第5章.pptxVIP

  • 0
  • 0
  • 约6.36千字
  • 约 41页
  • 2026-07-08 发布于广东
  • 举报

基于主机的入侵检测技术1第5章

基于主机的入侵检测技术

薛静锋祝烈煌主编,人民邮电出版社,2024年

基于主机的入侵检测技术2第5章基于主机的入侵检测技术基于主机的入侵检测技术:审计数据的获取审计数据的预处理基于统计模型的入侵检测技术基于专家系统的入侵检测技术基于状态转移分析的入侵检测技术基于完整性检查的入侵检测技术基于智能体的入侵检测技术系统配置分析技术检测实例分析

基于主机的入侵检测技术3审计数据的获取数据获取划分为直接监测和间接监测两种方法。(1)直接监测——直接监测从数据产生或从属的对象直接获得数据。例如,为了直接监测主机CPU的负荷,必须直接从主机相应内核获得数据。要监测inetd进程提供的网络访问服务,必须直接从inetd进程获得关于那些访问的数据;(2)间接监测——从反映被监测对象行为的某个源获得数据。间接监测主机CPU的负荷可以通过读取一个记录CPU负荷的日志文件获得。间接监测访问网络服务可以通过读取inetd进程产生的日志文件或辅助程序获得。间接监测还可以通过查看发往主机的特定端口的网络数据包。

基于主机的入侵检测技术4审计数据的获取入侵检测时,直接监测要好于间接监测,原因如下:(1)间接数据源(如审计跟踪)的数据可能在IDS使用这些数据之前被篡改。(2)一些事件可能没有被间接数据源记录。(3)使用间接监测

文档评论(0)

1亿VIP精品文档

相关文档