基于存储的入侵检测技术

最新推荐文章于 2023-04-13 10:09:24 发布
最新推荐文章于 2023-04-13 10:09:24 发布
阅读量492 收藏 1
点赞数
分类专栏: 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cookieXSS/article/details/106679789
版权
本文探讨了基于存储的入侵检测技术,包括数据采集与特征分析、预处理、攻击模式自动生成。重点介绍了使用决策树分类方法,如ID3算法,以及IDS间的协作防御机制,如主动防御和通知预警模式,以提升网络安全防御能力。
摘要由CSDN通过智能技术生成

基于存储的入侵检测技术

数据采集

在这里插入图片描述

数据特征分析

  • 时间戳:精确显示每次打开、读取、写入或删除的时间;
  • 进程名称:存储操作动作的发出者;
  • 操作请求:包括 Fast I/O操作请求和IRP操作请求;
  • 被操作的文件路径:存储操作响应的接受者;
  • 操作结果状态:显示操作的最终结果;
  • 具体读写信息:提供了与读写相关的数据长度和偏移量等。

数据预处理和规约

未处理的存储操作数据存在以下问题:

(1)某些正常和异常数据具有相同的取值特征,对于区分攻击类型起不到直接的作用;

(2)某些数据属性的表达方式不适合直接输入算法进行处理;

(3)对比网络数据和存储数据发现:网络数据产生于ISO模型的网络层或传输层,可靠性较高;而存储层次的数据质量相对较低,冗余操作、低信息量和错误数据充斥在正常操作的数据集里。

基于数据控掘的攻击模式自动生成

最低0.47元/天 解锁文章
listone_sec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于主机的入侵检测技术
LISTONE的个人博客
06-01 2452
基于主机的入侵检测技术 审计数据的获取 审计数据的预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于状态转移分析的入侵检测技术 基于完整性检查的入侵检测技术 基于智能体的入侵检测技术 系统配置分析技术 审计数据的获取 数据获取划分为直接监测和间接监测两种方法。 (1)直接监测——直接监测从数据产生或从属的对象直接获得数据。例如,为了直接监测主机CPU的负荷,必须直接从主机相应内核的结构获得数据。要监测ietd进程提供的网络访问服务,必须直接从 inetd进程获得关于那些访问的数据; (
基于主机的入侵检测优缺点_[转]基于网络和主机的入侵检测比较,各自优缺点...
weixin_39756235的博客
12-21 4173
[转]基于网络和主机的入侵检测比较,各自优缺点(2011-10-18 00:11:05)标签:it大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补...
基于主机的***检测tripwire
weixin_34268579的博客
09-27 150
简介 tripwire是一个基于主机的***检测系统,主要手段是在系统初始化后生成一个指纹库,通过定期检查校验文件,如果发生变化,则会触发邮件报警。 tripwire 运行方式并不是服务,而是crontab脚本,详见/etc/cron.daliy/tripwire-check,默认每天运行一次。   安装tripwire 安装tripwire十分容易,它已经包含在了EPEL仓库...
基于主机入侵检测系统
weixin_30300523的博客
07-15 675
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。 1.1操作系统的审计 审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以...
入侵检测系统
2201_75362610的博客
04-13 369
从学术概念的角度,入侵检测是一种处理信息系统误用的技术,其作用包括检测、响应、评估、威慑和起诉支持等等。目前在安全领域获得广泛应用的技术通常都带有预防威胁的色彩,就好像一幢房子的门锁一样。但是现实告诉我们,安全威胁并不仅仅来自于外部。特别是在信息安全领域,组织内部的安全问题造成的经济损失接近整体损失的百分之八十。我们需要我们的安全防御措施不只能够防御恶意信息的流入,还能够控制和保障信息的使用,入侵检测就是能够完成这种目标的技术
基于数据挖掘技术入侵检测系统
10-20
6. 规则库:存储入侵检测规则,为误用检测提供基础。 7. 报警器:当检测到异常行为时,向管理员发送报警。 8. 特征提取器:通过关联分析从日志中提取规则,更新规则库。 异常分析器采用聚类分析,如K-Means算法,...
计算机研究 -基于聚类的入侵检测方法研究.pdf
06-27
2. 入侵检测技术入侵检测技术是一种积极主动的安全防护技术,能够有效地对计算机和网络资源上的恶意使用行为进行识别和响应。 3. 聚类算法:聚类算法是数据挖掘技术中的一个重要的研究领域,通过对数据特征属性的...
入侵检测技术课件:第4章 基于主机的入侵检测技术.ppt
06-17
基于主机的入侵检测技术 本章节主要讨论基于主机的入侵检测技术,涵盖了审计数据的获取、预处理、统计模型、专家系统、状态转移分析、文件完整性检查和系统配置分析等多方面的内容。 4.1 审计数据的获取 在基于...
基于Linux的网络入侵检测系统.pdf
09-07
我们需要选择合适的入侵检测算法和技术,选择合适的系统架构和网络协议,选择合适的数据存储和管理方式等。 基于Linux的网络入侵检测系统是一种有效的方法来检测和防止网络入侵。该系统具有重要的现实意义,可以...
无线传感器网络入侵检测技术.docx
最新发布
01-25
"无线传感器网络入侵检测技术" 在本论文中,我们关注于无线传感器网络入侵检测技术的研究。无线传感器网络是一种新型的网络形式,由许多无线传感器节点组成,具有广泛的应用前景,如军事、环境保护、交通便利等领域...
入侵检测数据集2017
09-21
由于原文件超出220M,需要原始文件的请下载好该文件后私信我,我会提供原始CSV文件,如有需要,还可以提供原始网络流量数据.pcap格式的。分数要求不高,只是因为我是研究这个方向的,希望有志之士可以一起探讨。 使用该数据集同样需要注明出处,请私信我。 我在做这个方向时,花了很长时间找数据集,除了上传的,还有其他的,如果有需要的,可以问问我。
13款入侵检测系统介绍(HIDS)
神棍之路
03-07 7508
入侵检测系统IDS是入侵检测系统,IPS是入侵防御系统。尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。入侵检测系统(IDS)仅需要识别对网络或数据的未授权访问即可获得标题。被动IDS将记录入侵事件并生成警报以引起操作员的注意。被动IDS还可以存储有关每个检测到的入侵和支持分析的信息。
网络安全之入侵检测系统
VN520的博客
04-13 7284
入侵:指一系列试图破坏信息资源机密性完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。入侵检测:是通过从计算机网络系统中的若干关键节点收集信息,并分析这些信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,是对指向计算和网络资源的恶意行为的识别和响应过程。入侵检测系统(IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分。
6.1基于主机的入侵检测系统
黑白程序的博客
11-09 2960
基于主机的入侵检测系统运行在需要监视的系统上。它们监视系统并判断系统上的活动是否可接受。如果一个网络数据包已经到达它要试图进入的主机,要想准确地检测出来并进行阻止,除防火墙和网络监视器外,还可用第三道防线来阻止,即“基于主机的入侵检测”,其入侵检测结构如右图所示。 2种基于主机的入侵检测类型如下。 基于主机的入侵检测结构 ·网络监视器。它监视进来的主机的网络连接,并试图判断这些连接是否是
入侵检测之基于主机入侵检测系统
u011450981的博客
07-15 5862
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。1.1操作系统的审计审计是指收集有关系统资源使用情况的数据。审计数据提供安全相关的系统事件的记录。以后便可以...
ZEEK(bro)基础实践三
lepton126的专栏
04-03 1212
处理指定行或以下几行的shell脚本 awk '/^[a-z]$/{print NR}' file.txt > line.txt NUM=`cat line.txt | wc -l` a=$[NUM-1] for i in `seq $a` do NR=`sed -n "${i}p" line.txt` NR2=`sed -n "$[i+1]p" line.txt` ...
入侵检测IDS学习--snort基础
程序狗的成长之路
07-24 2091
1.BM算法 BM匹配算法是Boyer和Moore两人在KMP算法的启发下,提出的一种字符串快速匹配算法。它采用自右向左的方式扫描模式(P表示)与正文(T表示),一旦发现正文中出现模式中没有的字符时就可以将模式、正文进行一个大幅度的偏移。模式与正文在匹配比较的过程中,将P与T左对齐,即P[1]与T[1]对齐。匹配从P 的最右端字符开始,判断P[strlen(P)](strlen(p)为模式长度)
IDS与IPS功能分析
weixin_33737134的博客
04-27 204
IDS与IPS 本文主要对比分析了***检测系统、 ***防御系统以及 “防火墙+***检测系统” 联动防护机制这三种网络安全方案,讨论了其优缺点和未来发展方向 1.       IDS的主要不足和IPS的主要优势 1.1  IDS的主要不足 (1)误报、漏报率高 IDS系统在识别 “大规模组合式、 分布式******” 方面,还没有较好的解决方法,误报与漏报现象严重。 误报使得大量的报...
bro流量分析(改名zeek)
weixin_30501857的博客
02-28 919
计算机入侵取证: 计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。 bro基础介绍: bro是一款被动的开源流量分析器。它主要用于对链路上所有深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控。虽然经常与传统入侵检测/预防系统进行比较,但b...
基于机器学习的网络入侵检测技术需求分析
09-12
1. 数据集的准备和处理:基于机器学习的网络入侵检测技术需要大量的网络流量数据作为训练样本,因此需要选择合适的数据集,并对数据进行预处理和清洗,以保证数据质量和有效性。 2. 特征提取和选择:在数据集准备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值