400-0312-766
名稱:保定市匯邦電氣有限公司
地址:保定市高開區(qū)錦繡街658號
電話:0312-7500073/3186840
傳真:0312-7520750
郵箱:hbdq88@163.com
業(yè)務(wù):專業(yè)從事于安全工器具檢測,安全工器具檢測設(shè)備,電力安全工器具檢測
網(wǎng)址:bnzzz.cn
簡述入侵檢測常用的四種方法
1、特征檢測
安全工器具檢測設(shè)備特征檢測對已知的攻擊或入侵的方式作出確定性的描述,形成相應(yīng)的事件模式。當(dāng)被審計的事件與已知的入侵事件模式相匹配時,即報警。原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報檢測的準(zhǔn)確率較高,但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。
2、統(tǒng)計檢測
統(tǒng)計模型常用異常檢測,在統(tǒng)計模型中常用的測量參數(shù)包括:審計事件的數(shù)量、間隔時間、資源消耗情況等。統(tǒng)計方法的優(yōu)點是它可以“學(xué)習(xí)”用戶的使用習(xí)慣,從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機會通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律,從而透過入侵檢測系統(tǒng)。
3、專家系統(tǒng)
用專家系統(tǒng)對入侵進(jìn)行檢測,經(jīng)常是針對有特征入侵行為。所謂的規(guī)則,即是知識,不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。安全工器具檢測設(shè)備入侵的特征抽取與表達(dá),是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中,將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)),條件部分為入侵特征,then部分是系統(tǒng)防范措施。運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。
4、文件完整性檢查
安全工器具檢測設(shè)備中文件完整性檢查系統(tǒng),檢查計算機中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫,每次檢查時,它重新計算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。文件的數(shù)字文摘通過Hash函數(shù)計算得到。不管文件長度如何,它的Hash函數(shù)計算結(jié)果是一個固定長度的數(shù)字。與加密算法不同,Hash算法是一個不可逆的單向函數(shù)。采用安全性高的Hash算法,如MD5、SHA時,兩個不同的文件幾乎不可能得到相同的Hash結(jié)果。從而,當(dāng)文件一被修改,就可檢測出來。