论坛: 菜鸟乐园 标题: 入侵检测技术原理 复制本贴地址    
作者: 水晶之恋 [ping123]    论坛用户   登录
入侵检测技术原理

  入侵检测可分为实时入侵和事后入侵检测两种。

  实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测有网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期过不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。

  入侵检测方法的分类

1. 基于用户行为概率统计模型的入侵检测方法

这种入侵检测方法是基于对拥护历史行为建模以及在早期的证据或模型的基础上,审计系统实时的检测用户对系统的使用情况,根据系统内部保存的拥护行为概率统计模型进行检测,当发现有可疑的用户行为发生时,保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为,生成每个用户的历史行为记录库,当用户改变他们的行为习惯时,这种异常就回被检测出来。

2. 基于神经网络入侵检测方法

这种方法是利用神经网络技术来进行入侵检测。因此,这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效的加以处理并作出入侵可能性的判断。但该方法还不成熟,目前该没有出现较为完善的产品。

3. 基于专家系统的入侵检测技术

该技术感受安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立响应的专家系统,由此专家系统自动进行对所涉及入侵行为建立行为的分析工作。该系统应当能够随着经验的积累而利用其自学能力进行规则的扩充和修正。

4. 基于模型推理的入侵检测技术

5. 该技术根据入侵者在进行入侵时所执行的某些行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前以知的入侵行为程序的基础之上的,对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。

6. 以上几种方法每一种都不能保证能准确的检测出变化无穷的入侵行为。因此在网络安全防护中要充分衡量各种方法的利弊,综合运用这些方法才能有效的检测出入侵者的非法行为。

  入侵检测系统的功能和结构

  总的来说,入侵检测系统的功能有:

  *监视用户和系统的运行状况,查找非法用户和合法用户的越权操作。

  *检测系统培植的正确性和安全漏洞,并提示管理条例修补漏洞。

  *对拥护的非正常活动进行统计分析,发现入侵行为的规律。

  *检查系统程序和数据的一致性和正确性如计算和比较文件系统的校验和。

  *能够实时对检测到的入侵行为进行反应。

  *操作系统的审计跟踪管理。

  根据以上入侵检测系统的功能,可以把它的功能结构分为两个大的部分:中心检测平台和代理服务器。代理服务器是负责从各个操作系统中采集审计数据,并把审计数据转换平台无关的格式后传送到中心检测平台,或者把中心平台的审计数据要求传送到各个操作系统中。而中心检测平台由专家系统、知识库和管理员组成,其功能是根据代理服务器采集来的审计数据进行专家系统分析,产生系统安全报告。管理员可以向各个主机提供安全管理功能,根据专家系统的分析向各个代理服务器发出审计数据的需求。另外,在中心检测平台和代理服务器之间是通过安全的RPC进行通信。



地主 发表时间: 08/02 19:39

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号