freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

入侵檢測ppt課件-文庫吧資料

2025-05-12 04:39本頁面
  

【正文】 列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計記錄中找到的數(shù)據(jù)樣板,直接從審計數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配 ,提高了運行效率。 ( 1) 專家系統(tǒng)誤用檢測 專家系統(tǒng)誤用檢測方法首先將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識表示成一些類似 If Then的規(guī)則,并以這些規(guī)則為基礎(chǔ)建立專家知識庫。 誤用檢測技術(shù)有以下缺點: 不能檢測出新的入侵行為; 完全依賴于入侵特征的有效性; 維護(hù)特征庫的工作量巨大; 難以檢測來自內(nèi)部用戶的攻擊。它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征,如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫,那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較,如果匹配,則當(dāng)前行為就被認(rèn)定為入侵行為。 異常檢測技術(shù)有以下不足: ?誤報率高; ?行為模型建立困難; ?難以對入侵行為進(jìn)行分類和命名。 具體的統(tǒng)計分析方法,如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法,目前正處于研究熱點和迅速發(fā)展之中。 異常檢測技術(shù)能夠為用戶和系統(tǒng)的所有正常行為建立行為模型。 入侵檢測系統(tǒng)的檢測分析技術(shù)主要分為兩大類:異常檢測和誤用檢測。其中本地代理負(fù)責(zé)處理本地事件,中央代理負(fù)責(zé)統(tǒng)一調(diào)控各個本地代理的工作以及從整體上完成對網(wǎng)絡(luò)事件進(jìn)行綜合分析的工作。 分布式入侵檢測系統(tǒng) 采用分布式結(jié)構(gòu)的入侵檢測模式是解決方案之一,也是目前入侵檢測技術(shù)的一個研究方向。此外入侵檢測系統(tǒng)一般采用單一的檢測分析方法,隨著網(wǎng)絡(luò)攻擊方法的日趨復(fù)雜化,單一的基于異常檢測或者誤用檢測的分析方法所獲得的效果很難令人滿意。 兩種入侵檢測系統(tǒng)的結(jié)合運用 目前的入侵檢測系統(tǒng)一般采用集中式模式,在被保護(hù)網(wǎng)絡(luò)的各個網(wǎng)段中分別放置檢測器進(jìn)行數(shù)據(jù)包搜集和分析,各個檢測器將檢測信息傳送給中央控制臺進(jìn)行統(tǒng)一處理。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以研究負(fù)載的內(nèi)容,查找特定攻擊中使用的命令或語法,這類攻擊可以被實時檢查包序列的入侵檢測系統(tǒng)迅速識別;而基于主機的入侵檢測系統(tǒng)無法看到負(fù)載,因此也無法識別嵌入式的負(fù)載攻擊。 基于內(nèi)核的入侵檢測系統(tǒng)采取防止緩沖區(qū)溢出,增加文件系統(tǒng)的保護(hù),封閉信號等措施,從而阻止入侵者的破壞。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點: 可以提供實時的網(wǎng)絡(luò)行為檢測; 可以同時保護(hù)多臺網(wǎng)絡(luò)主機; 具有良好的隱蔽性; 有效保護(hù)入侵證據(jù); 不影響被保護(hù)主機的性能。 ( 3) 識別各種各樣可能的 IP欺騙攻擊。 此外,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以執(zhí)行以下任務(wù): ( 1) 檢測端口掃描。對于合法的數(shù)據(jù)包,允許它們通過。 包嗅探器在交換網(wǎng)絡(luò)環(huán)境下通常不能正常工作。 ( 2) 詳細(xì)地檢查包來診斷服務(wù)器的問題。一旦抓獲了這些數(shù)據(jù)包,就可以進(jìn)行以下工作: ( 1) 對包進(jìn)行統(tǒng)計。如果是正常數(shù)據(jù)包,則允許通過或留待進(jìn)一步分析;如果是不安全的數(shù)據(jù)包,則可以進(jìn)行阻斷網(wǎng)絡(luò)連接等操作。 大多數(shù)的入侵都有一定的特征 ,只要在數(shù)據(jù)包記錄中發(fā)現(xiàn)這種有特征的行為,就可以在一定程度上斷定發(fā)生了或即將發(fā)生入侵。最常用的處理是數(shù)據(jù)包的流量統(tǒng)計以及數(shù)據(jù)包的歸類分析。為了能夠?qū)φ麄€網(wǎng)段進(jìn)行偵聽,系統(tǒng)會將本身的網(wǎng)卡設(shè)置為混雜模式以接收網(wǎng)段內(nèi)的所有數(shù)據(jù)包。一旦檢測到攻擊,入侵檢測系統(tǒng)應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)。 基于主機的入侵檢測系統(tǒng)具有以下不足: ? 實時性較差; ? 無法檢測數(shù)據(jù)包的全部; ? 檢測效果取決于日志系統(tǒng); ? 占用主機資源; ? 隱蔽性較差; ? 如果入侵者能夠修改校驗和,這種入侵檢測系統(tǒng)將無法起到預(yù)期的作用。如果入侵檢測系統(tǒng)發(fā)現(xiàn)某個進(jìn)程存在著異常的行為,就可以懷疑有網(wǎng)絡(luò)入侵。每個進(jìn)程都存在于特定的系統(tǒng)環(huán)境中,能夠訪問有限的系統(tǒng)資源、數(shù)據(jù)文件等,或者與特定的進(jìn)程進(jìn)行通信。 ( 3) 進(jìn)程記錄 主機系統(tǒng)中運行著各種不同的應(yīng)用程序,包括各種服務(wù)程序。 ( 2) 文件系統(tǒng) 惡意的網(wǎng)絡(luò)攻擊者會修改網(wǎng)絡(luò)主機上包含重要信息的各種數(shù)據(jù)文件,他們可能會刪除或者替換某些文件,或者盡量修改各種日志記錄來銷毀他們的攻擊行為可能留下的痕跡。如果日志文件中存在著異常的記錄,就可以認(rèn)為已經(jīng)或正在發(fā)生網(wǎng)絡(luò)入侵行為。 通常入侵行為會在主機的各種相關(guān)文件中留下痕跡,主機文件檢測能夠幫助系統(tǒng)管理員發(fā)現(xiàn)入侵行為或入侵企圖,及時采取補救措施。系統(tǒng)管理員可以設(shè)置好訪問控制表,其中包括容易受到攻擊探測的網(wǎng)絡(luò)服務(wù),并且為它們設(shè)置好訪問權(quán)限。 基于主機的入侵檢測系統(tǒng) 網(wǎng)絡(luò)連接檢測是對試圖進(jìn)入該主機
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1