400-0312-766
名稱:保定市匯邦電氣有限公司
地址:保定市高開區(qū)錦繡街658號(hào)
電話:0312-7500073/3186840
傳真:0312-7520750
郵箱:hbdq88@163.com
業(yè)務(wù):專業(yè)從事于安全工器具檢測,安全工器具檢測設(shè)備,電力安全工器具檢測
網(wǎng)址:m.petpiece.com
簡述入侵檢測常用的四種方法
1、特征檢測
安全工器具檢測設(shè)備特征檢測對(duì)已知的攻擊或入侵的方式作出確定性的描述,形成相應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí),即報(bào)警。原理上與專家系統(tǒng)相仿。其檢測方法上與計(jì)算機(jī)病毒的檢測方式類似。目前基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測的準(zhǔn)確率較高,但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無能為力。
2、統(tǒng)計(jì)檢測
統(tǒng)計(jì)模型常用異常檢測,在統(tǒng)計(jì)模型中常用的測量參數(shù)包括:審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。統(tǒng)計(jì)方法的優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣,從而具有較高檢出率與可用性。但是它的“學(xué)習(xí)”能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律,從而透過入侵檢測系統(tǒng)。
3、專家系統(tǒng)
用專家系統(tǒng)對(duì)入侵進(jìn)行檢測,經(jīng)常是針對(duì)有特征入侵行為。所謂的規(guī)則,即是知識(shí),不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性,知識(shí)庫的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。安全工器具檢測設(shè)備入侵的特征抽取與表達(dá),是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中,將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)),條件部分為入侵特征,then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫的完備性。
4、文件完整性檢查
安全工器具檢測設(shè)備中文件完整性檢查系統(tǒng),檢查計(jì)算機(jī)中自上次檢查后文件變化情況。文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫,每次檢查時(shí),它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較,如不同,則文件已被修改,若相同,文件則未發(fā)生變化。文件的數(shù)字文摘通過Hash函數(shù)計(jì)算得到。不管文件長度如何,它的Hash函數(shù)計(jì)算結(jié)果是一個(gè)固定長度的數(shù)字。與加密算法不同,Hash算法是一個(gè)不可逆的單向函數(shù)。采用安全性高的Hash算法,如MD5、SHA時(shí),兩個(gè)不同的文件幾乎不可能得到相同的Hash結(jié)果。從而,當(dāng)文件一被修改,就可檢測出來。