数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学如何检测入侵?
我们的计算机系统和信息安全始终面临风险。网络的广泛发展以及入侵和攻击网络的工具和技巧的可访问性日益增强,使得入侵检测成为网络管理的重要组成部分。入侵可以被定义为任何威胁网络资源(包括用户帐户、文件系统、系统内核等)的完整性、机密性或可用性的事件集合。
一些商业入侵检测系统功能有限,无法提供完整的解决方案。这些系统通常采用误用检测方法。误用检测搜索程序或用户行为模式,这些模式与已知的入侵场景相关联,并保存为特征码。
这些手工编写的特征码由人类专业人员根据他们对入侵方法的广泛知识进行费力地维护。如果发现模式匹配,则会发出警报。人类安全分析师会分析这些警报以确定采取何种行动,无论是关闭系统的一部分、提醒相关网络服务提供商存在可疑流量,还是简单地记录异常流量以供将来参考。
大型复杂网络的入侵检测系统通常每天会产生数千甚至数百万个警报,这对安全分析师来说是一项极其繁重的任务。由于系统并非静态的,因此每当出现新的软件版本或网络配置更改时,都需要更新特征码。其局限性在于误用检测只能识别与特征码匹配的案例。尤其无法检测新的或以前未知的入侵方法。
异常检测方法可以发现新的入侵。异常检测构建正常网络行为的模型(称为配置文件),可以检测与配置文件显著偏离的新模式。这些偏差可能代表实际入侵,也可能只是需要添加到配置文件中的新行为。
异常检测的优势在于它可以检测尚未观察到的新型入侵。通常,人类分析师需要检查这些偏差以确定哪些代表真正的入侵。异常检测的一个决定性因素是高比例的误报。可以将新的入侵模式添加到误用检测的特征码集中。
更新于:2021年11月30日
110 次浏览
广告