简述入侵检测常用的四种方法简述入侵检测常用的四种方法5

1楼：wuli小亮仔

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1、特征检测

特征检测(signature-based detection) 又称misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2、异常检测

异常检测(anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

扩展资料

入侵分类：

1、基于主机

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。

这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。

2、基于网络

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。

此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。

但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。

3、分布式

这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。

2楼：下個id我們再見

1）特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。

其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

2）统计检测

统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。

统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。

3）专家系统

用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。

入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

4）文件完整性检查

文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。

文件的数字文摘通过hash函数计算得到。不管文件长度如何，它的hash函数计算结果是一个固定长度的数字。与加密算法不同，hash算法是一个不可逆的单向函数。

采用安全性高的hash算法，如md5、sha时，两个不同的文件几乎不可能得到相同的hash结果。从而，当文件一被修改，就可检测出来。在文件完整性检查中功能最全面的当属tripwire。

3楼：暴走少爷

★复制别人的供你参考★基础：

入侵检测系统的检测方法

4楼：破碎的梦

在异常入侵检测系统中常常采用以下几种检测方法：基于贝叶斯推理检测法：是通过在任何给定的时刻，测量变量值，推理判断系统是否发生入侵事件。

　基于特征选择检测法：指从一组度量中挑选出能检测入侵的度量，用它来对入侵行为进行**或分类。　基于贝叶斯网络检测法：

用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。按给定全部节点组合，所有根节点的先验概率和非根节点概率构成这个集。

贝叶斯网络是一个有向图，弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时，就允许将它吸收为证据，为其他的剩余随机变量条件值判断提供计算框架。

基于模式**的检测法：事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式**的异常检测法的假设条件，其特点是事件序列及相互联系被考虑到了，只关心少数相关安全事件是该检测法的最大优点。　　基于统计的异常检测法：

是根据用户对象的活动为每个用户都建立一个特征轮廓表，通过对当前特征与以前已经建立的特征进行比较，来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新，其保护去多衡量指标，这些指标值要根据经验值或一段时间内的统计而得到。　　基于机器学习检测法：

是根据离散数据临时序列学习获得网络、系统和个体的行为特征，并提出了一个实例学习法ibl，ibl是基于相似度，该方法通过新的序列相似度计算将原始数据（如离散事件流和无序的记录）转化成可度量的空间。然后，应用ibl学习技术和一种新的基于序列的分类方法，发现异常类型事件，从而检测入侵行为。其中，成员分类的概率由阈值的选取来决定。

数据挖掘检测法：数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在，审计记录大多都是以文件形式存放的。

如果靠手工方法来发现记录中的异常现象是远远不够的，所以将数据挖掘技术应用于入侵检测中，可以从审计数据中提取有用的知识，然后用这些知识区检测异常入侵和已知的入侵。采用的方法有kdd算法，其优点是善于处理大量数据的能力与数据关联分析的能力，但是实时性较差。

基于应用模式的异常检测法：该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较，从而发现异常行为。

基于文本分类的异常检测法：该方法是将系统产生的进程调用集合转换为“文档”。利用k邻聚类文本分类算法，计算文档的相似性。

误用入侵检测系统中常用的检测方法有：　　模式匹配法：是常常被用于入侵检测技术中。

它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较，从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担，有较高的检测率和准确率。　　专家系统法：

这个方法的思想是把安全专家的知识表示成规则知识库，再用推理算法检测入侵。主要是针对有特征的入侵行为。　　基于状态转移分析的检测法：

该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为，防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中，一个渗透过程可以看作是由攻击者做出的一系列的行为而导致系统从某个初始状态变为最终某个被危害的状态。

入侵检测系统可以分为哪几类？

5楼：各种怪

分为两类：

1、信息**一类：基于主机ids和基于网络的ids。

2、检测方法一类：异常入侵检测和误用入侵检测。

入侵检测系统（intrusion detection system，简称“ids”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，ids是一种积极主动的安全防护技术。

ids最早出现在1980年4月。 1980年代中期，ids逐渐发展成为入侵检测专家系统（ides）。 1990年，ids分化为基于网络的ids和基于主机的ids。

后又出现分布式ids。目前，ids发展迅速，已有人宣称ids可以完全取代防火墙。

6楼：科学普及交流

一、根据信息**可分为基于主机ids和基于网络的ids，

二、根据检测方法又可分为异常入侵检测和误用入侵检测。

入侵检测系统分为四个组件:

1.事件产生器(event generators)，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2.事件分析器(event analyzers)，它经过分析得到数据，并产生分析结果。

3.响应单元(response units )，它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4.事件数据库(event databases )事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

简述入侵检测常用的四种方法简述入侵检测常用的四种方法5

建立社区居民健康档案对居民有什么好处

如何用最简单的方法检测水中是否重金属超标

常用测定微生物生长量的方法有几种

简述入侵检测常用的四种方法简述入侵检测常用的四种方法5

建立社区居民健康档案对居民有什么好处

如何用最简单的方法检测水中是否重金属超标

常用测定微生物生长量的方法有几种

相关阅读