信息安全概论总结-6

第六章-入侵检测技术

2017年11月29日 星期三
9:04

入侵检测技术定义

“通过对行为，安全日志，审计数据或者其他网络上可以获取的信息进行分析，对系统的闯入或者闯出的企图进行检测”的安全技术

入侵检测系统定义：

对网络传输进行即时检测，对发现的可疑传输行为发出警报或者主动采取措施的网络安全设施

入侵检测的局限和优点：

a. 局限：
有效性差，适应性差，扩展性差
b. 优点：
使现有的安全体系更加完整，更好的掌握了系统的情况

CIDF（公共入侵检测框架）

a. 四个基本组件
    i. 事件产生器： 收集事件，转化为GIDO格式给其他组件
    ii. 事件分析器：分析收到的GIDO，产生新的GIDO
    iii. 事件数据库：存储GIDO
    iv. 响应单元：处理GIDO

入侵检测系统的体系结构

    a. 集中式
    b. 分布式
    c. 分层式

入侵检测的技术有：

a. 基于行为的
    i. 概率统计方法
    ii. 人工神经网络
    iii. 人工免疫系统
b. 基于知识的
    i. 专家系统
    ii. 模型推理
    iii. 状态分析转换