第六章-入侵檢測技術
2017年11月29日 星期三
9:04
入侵檢測技術定義
“通過對行爲,安全日誌,審計數據或者其他網絡上可以獲取的信息進行分析,對系統的闖入或者闖出的企圖進行檢測”的安全技術
入侵檢測系統定義:
對網絡傳輸進行即時檢測,對發現的可疑傳輸行爲發出警報或者主動採取措施的網絡安全設施
入侵檢測的侷限和優點:
a. 侷限:
有效性差,適應性差,擴展性差
b. 優點:
使現有的安全體系更加完整,更好的掌握了系統的情況
CIDF(公共入侵檢測框架)
a. 四個基本組件
i. 事件產生器: 收集事件,轉化爲GIDO格式給其他組件
ii. 事件分析器:分析收到的GIDO,產生新的GIDO
iii. 事件數據庫:存儲GIDO
iv. 響應單元:處理GIDO
入侵檢測系統的體系結構
a. 集中式
b. 分佈式
c. 分層式
入侵檢測的技術有:
a. 基於行爲的
i. 概率統計方法
ii. 人工神經網絡
iii. 人工免疫系統
b. 基於知識的
i. 專家系統
ii. 模型推理
iii. 狀態分析轉換