首页 > 知识点讲解
       基于误用的入侵检测技术
知识路径: > 入侵检测技术原理与应用 > 入侵检测技术  > 基于误用的入侵检测技术 > 
被考次数:5次     被考频率:中频率     总体答错率:62%     知识难度系数:     
考试要求:掌握      相关知识点:12个      
        误用入侵检测通常称为基于特征的入侵检测方法,是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征模式,则入侵行为立即被检测到,如下图所示。
        
        基于攻击模式匹配的原理图
        显然,误用入侵检测依赖于攻击模式库。因此,这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小,则IDS的有效性就大打折扣。而如果攻击模式库过大,则IDS的性能会受到影响。
        基于上述分析,误用入侵检测的前提条件是,入侵行为能够按某种方式进行特征编码,而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术,误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。
               基于条件概率的误用检测方法
               基于条件概率的误用检测方法,是将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。令ES表示某个事件序列,发生入侵的先验概率为PIntrusion),发生入侵时该事件序列ES出现的后验概率为PES|Intrusion),该事件序列出现的概率为PES),则有:
               
               通常网络安全员可以给出先验概率PIntrusion),对入侵报告进行数据统计处理可得PES|?Intrusion)和PES|Intrusion),于是可以计算出:
               PES)=[PES|Intrusion)-PES|?Intrusion)]×PIntrusion)+PES|?Intrusion
               因此,可以通过对事件序列的观测推算出PIntrusion|ES)。基于条件概率的误用检测方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进,其缺点是先验概率难以给出,而且事件的独立性难以满足。
               基于状态迁移的误用检测方法
               状态迁移方法利用状态图表示攻击特征,不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态,危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移,使系统从初始状态迁移到危害状态。基于状态迁移的误用检测方法通过检查系统的状态变化发现系统中的入侵行为。采用该方法的IDS有STAT(State Transition Analysis Technique)和USTAT(State Transition Analysis Tool for UNIX)。
               基于键盘监控的误用检测方法
               基于键盘监控的误用检测方法,是假设入侵行为对应特定的击键序列模式,然后监测用户的击键模式,并将这一模式与入侵模式匹配,从而发现入侵行为。这种方法的缺点是,在没有操作系统支持的情况下,缺少捕获用户击键的可靠方法。此外,也可能存在多种击键方式表示同一种攻击。而且,如果没有击键语义分析,用户提供别名(例如Korn shell)很容易欺骗这种检测技术。最后,该方法不能够检测恶意程序的自动攻击。
               基于规则的误用检测方法
               基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则,只要符合规则就认定它是一种入侵行为。这种方法的优点是,检测起来比较简单,但是也存在缺点,即检测受到规则库限制,无法发现新的攻击,并且容易受干扰。目前,大部分IDS采用的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例。
 
本知识点历年真题:
隶属试卷 题号/题型 题干 难度系数/错误率
   2019年上半年
   信息安全工程师..
   上午试卷 综合知识
第44题
选择题
入侵检测技术包括异常入侵检测和误用入侵检测。以下关于误用检测技术的描述中,正确的是( )。

68%
 
 相关知识点:
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2023 All Rights Reserved 软考在线版权所有