@贝壳儿
1年前 提问
1个回答
入侵检测技术主要包括哪些技术
上官雨宝
1年前
入侵检测技术主要包括以下技术:
概率统计异常检测:每一个轮廓保存记录主体当前行为,并定时将当前轮廓与历史轮廓合并形成统计轮廓(更新),通过比较当前轮廓与统计轮廓来判定异常行为。
神经网络异常检测:对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。
专家系统滥用检测:通过将安全专家的知识表示成If-Then结构的规则(if部分:构成入侵所要求的条件;then部分:发现入侵后采取的相应措施)形成专家知识库,然后运用推理算法检测入侵。
状态转换分析滥用检测:将入侵过程看作一个行为序列,该行为序列导致系统从初始状态转入被入侵状态。分析时,需要针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件(导致系统进入被入侵状态必须执行的操作/特征事件);然后用状态转换图来表示每一个状态和特征事件。
入侵诱骗技术:用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并进而找到有效的对付方法。
主动响应:入侵检测系统在检测到入侵后能够阻断攻击、影响进而改变攻击的进程。
被动响应:入侵检测系统仅仅简单地报告和记录所检测出的问题。