@烟雨
2年前 提问
1个回答

误用入侵检测常用检测方法有哪些

delay
2年前

误用入侵检测常用检测方法有以下三种:

  • 模式匹配方法:最基本、最简单的误用检测方法,它将已知的入侵特征转换成模式,存放在模式数据库中,在检测过程中将捕获的事件与模式数据库中的入侵模式进行匹配,若匹配成功则认为有入侵行为发生。

  • 专家系统方法:最传统、最通用的误用检测方法,它基于通用的规则系统,将有关待解决问题领域知识的描述与根据事件集进行推理匹配的过程相分离,允许用户像if-then规则一样输入攻击信息,然后以审计事件的形式输出事实,系统根据输入的信息评估这些事实。用户并不需要理解专家系统[插图]的内部功能和过程,但需要编写决定引擎和规则的代码,规则集的每条入侵检测规则都对应某个入侵脚本场景。其缺点是系统能力受限于专家知识,不适合处理大批量数据,因采用解释器而影响速度,无法对连续有序数据进行处理,也难以处理不确定事件。

  • 状态转换方法:最灵活、最强有力的误用检测方法,它允许使用最优模式匹配技巧来结构化处理误用检测问题。该方法使用系统状态和状态转换表达式来描述和检测已知入侵,常用的状态转换方法有状态转换分析法和有色Petri网。前者的优点是提供了一个直接、高级、与审计记录独立的概要描述,允许用户描绘构成攻击概要的部分顺序信号动作,系统保存的硬连接信息使它更容易表示攻击情景,且能检测出协同的缓慢攻击;后者的优点是速度快,模式匹配引擎独立于审计格式,特征在跨越审计记录方面非常方便,可移植性强,模式能根据需要进行匹配,事件的顺序和其他排序约束条件可以直接体现出来。

入侵检测可以检测以下攻击:

  • 拒绝服务:利用域名解析服务器不验证请求源的弱点,攻击者伪装成攻击目标域名向全世界数以百万计的域名解析服务器发送查询请求,域名服务器返回的数据要远大于请求的数据,导致目标遭受了放大数十倍的DDoS攻击。被利用的域名服务器因此每天会收到大量的恶意请求,它也不断的遭受较小规模的DDoS攻击;

  • 分布式拒绝服务:是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个;

  • 暴力拆解:是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码),尝试所有的可能性破解用户的账户名.密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码;

  • 端口扫描:端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点;

  • 嗅探攻击:嗅探器可以获取网络上流经的数据包。用集线器hub组建的网络是基于共享的原理的,局域网内所有的计算机都接收相同的数据包,而网卡构造了硬件的“过滤器“通过识别MAC地址过滤掉和自己无关的信息,嗅探程序只需关闭这个过滤器,将网卡设置为“混杂模式“就可以进行嗅探。用交换机switch组建的网络是基于“交换“原理的,交换机不是把数据包发到所有的端口上,而是发到目的网卡所在的端口,这样嗅探起来会麻烦一些,嗅探程序一般利用“ARP欺骗“的方法,通过改变MAC地址等手段,欺骗交换机将数据包发给自己,嗅探分析完毕再转发出去;

  • 病毒攻击:病毒是人为制造的,有破坏性,又有传染性和潜伏性的,对计算机信息或系统起破坏作用的程序。它不是独立存在的,而是隐蔽在其他可执行的程序之中。计算机中病毒后,轻则影响机器运行速度,重则死机系统破坏;