文章目录
- 一、入侵检测概述
- 二、入侵系统的分类
- 三、入侵检测的分析方法
-
- 1、特征检测(滥用检测、误用检测)
- 2、异常检测
- 四、Snort入侵检测系统
- 五、网络欺诈技术
-
- 1、蜜罐
- 2、蜜网
- 3、网络欺骗防御
- 六、简答题
-
- 1. 入侵检测系统对防火墙的安全弥补作用主要体现在哪些方面?6点
- 2. 从信息源的角度看,以操作系统的审计记录作为入侵检测的信息源存在哪些缺陷?
- 3. 以应用程序的运行记录作为入侵检测系统的信息源,对于检测针对应用的攻击活动存在哪些优势?
- 4. 请分析基于网络的入侵检测系统的优点和缺点。
- 5. 什么是基于异常和基于误用的入侵检测方法?它们各有什么特点?
- 6. 为什么说异常检测所发现的异常未必是攻击活动?
- 7. 如何对入侵检测系统的效能进行评估。
- 8. 入侵检测技术主要存在哪些方面的局限性。
- 9. 谈谈你对蜜罐、蜜网、网络欺骗防御这三个概念的理解。
一、入侵检测概述
定义:通过从计算机系统或网络的关键点收集信息并进行分析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。
入侵检测意义:防火墙之后的第二道安全防线,是防火墙的必要补充。
数据源:应用、主机、网络。
二、入侵系统的分类
根据检测方法来分:
(1)基于特征(误用)的入侵检测
(2)基于异常的入侵检测
(3)混合的入侵检测
根据数据源来分:
(1)基于应用的入侵检测系统(Application-based IDS, AIDS)
(2)基于主机的入侵检测系统(Host-based IDS, HIDS)
(3)基于网络的入侵检测系统(Network-based IDS, NIDS)
(4)混合的入侵检测系统(Hybrid IDS)
三、入侵检测的分析方法
两种主要的检测方法:
特征检测、异常检测
1、特征检测(滥用检测、误用检测)
定义:收集非正常操作的行为特征(静态、动态特征、特征描述),建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。检测率取决于:攻击特征库的
正确性与完备性。
检测实现方法:模式匹配法(将收集到的入侵特征转换成模式,存放在模式数据库中,检测时匹配即可)、专家系统法(通过条件匹配判断是否出现了入侵并采取相应动作,专家系统采用的是说明性的表达方式,需要解释器来实现,速度慢)、<
最低0.47元/天 解锁文章
扫一扫
983
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
