(1)誤用檢測
誤用檢測又稱為特徵檢測,它將已知的入侵活動用一種模式來表示,形成網路攻擊特徵庫,或稱為網路攻擊規則庫。該方法對輸入的待分析資料來源進行適當處理,提取其特徵,並將這些特徵與網路攻擊特徵庫中的特徵進行比較,如果發現匹配的特徵,則指示發生了一次入侵行為。
優點:誤報率低、能夠準確的識別已知的攻擊,並詳細地報告出網路攻擊型別。
缺點:漏報率高、對新的入侵方法無能為力
(2)異常檢測
異常檢測收集正常活動的規律,將待檢測的活動與這些正常活動的規律進行比較,對於違反正常活動統計規律的活動,認為該活動可能是入侵行為。
優點:漏報率低、不需要對每種入侵行為進行定義,可以檢測到未知的入侵行為。
缺點:誤報率高、可能無法明確入侵行為的型別。
入侵檢測系統(ids)是指執行入侵檢測任務和功能的系統,它將入侵檢測技術植入到可部署的系統中,對計算機網路或系統中違反安全策略的行為進行識別和相應處理。
(1)基於主機的入侵檢測系統
基於主機的入侵檢測系統分析的資料來源來自主機作業系統的事件日誌、應用程式的事件日誌、系統呼叫、埠呼叫和安全審計記錄等,它一般保護所在的主機系統。
優點:不需要額外硬體,對網路流量不敏感,入侵檢測效率高並且能準確定位入侵位置並做出反應。
缺點:依賴主機可靠性,可移植性差,所能檢測的攻擊型別有限,並影響主機執行效能和服務效率。
(2)基於網路的入侵檢測系統
基於網路的入侵檢測系統分析的資料來源來自網路上傳輸的原始能量,它保護其所處網段的計算機網路,擔負著整個網段是否被入侵的任務。
優點:不依賴作業系統作為待檢測資料的**,可以檢測協議攻擊、特定環境的攻擊等,不影響主機效能。
缺點:無法檢測發生在應用級別的入侵行為,無法得到主機系統的實時狀態,精確度較差。
(3)混合入侵檢測系統
該系統結合了上述兩種系統,檢測效果更加準確,但實現難度較大和成本 較高。
入侵檢測的規避(evasion)是指對網路攻擊的表現形式進行偽裝轉換,致使ids無法識別,從而逃避ids檢測的活動。
(1)入侵檢測規避與反規避技術
(2)資料探勘技術在入侵檢測規避中的應用
(3)資料探勘技術在入侵檢測反規避中的應用
網路安全中的資料探勘技術(二)
目前,常用的惡意軟體檢測技術有特徵碼檢測技術 校驗和技術 行為分析技術 虛擬機器技術 啟發式檢測技術等。特徵碼檢測技術依賴鄰域專家的行業經驗和個人能力提取惡意軟體的特徵碼,讓該特徵碼唯一性的對映到對應的惡意軟體。該技術的前提 是必須先捕獲惡意軟體樣本,捕獲樣本的常見方法有使用者上報 蜜罐技術 定向採...
網路安全的認證技術
網路認證技術是網路安全技術的重要組成部分之一。認證指的是證實被認證物件是否屬實和是否有效的乙個過程。其基本思想是通過驗證被認證物件的屬性來達到確認被認證物件是否真實有效的目的。被認證物件的屬性可以是口令 數字簽名或者象指紋 聲音 視網膜這樣的生理特徵。認證常常被用於通訊雙方相互確認身份,以保證通訊的...
網路管理與網路安全技術
internet服務提供者 isp 是internet接入服務的提供者,任何使用者都需要使用isp提供的接入服務 adsl接入使用的接入裝置是adsl數據機,最大傳輸速度為8mb s 優點 不需要特殊的傳輸線路,只需要使用 線,常用於家庭使用者 混合光纖同軸電纜網,是一種經濟實用的綜合數字服務寬頻網...