入侵檢測技術基礎 1. IDS(入侵檢測系統)存在與發展的必然性 (1)網路安全本身的復雜性,被動式的防禦方式顯得力不從心。(2)有關供觸垛吠艹杜訛森番緝防火牆:網路邊界的設備;自身可以被攻破;對某些攻擊保護很弱;並非所有威脅均來自防火牆外部。(3)入侵很容易:入侵教程隨處可見;各種工具唾手可得 2. 入侵檢測(Intrusion Detection) ●定義:通過從計算機網路或計算機系統中的若干關鍵點收集信息並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。入侵檢測的分類(1)按照分析方法/檢測原理分類 ●異常檢測(Anomaly Detection):基於統計分析原理。首先總結正常操作應該具有的特徵(用戶輪廓),試圖用定量的方式加以描述,當用戶活動與正常行為有重大偏離時即被認為是入侵。前提:入侵是異常活動的子集。指標:漏報率低,誤報率高。用戶輪廓(Profile):通常定義為各種行為參數及其閥值的集合,用於描述正常行為范圍。特點:異常檢測系統的效率取決於用戶輪廓的完備性和監控的頻率;不需要對每種入侵行為進行定義,因此能有效檢測未知的入侵;系統能針對用戶行為的改變進行自我調整和優化,但隨著檢測模型的逐步精確,異常檢測會消耗更多的系統資源 ●誤用檢測(Misuse Detection):基於模式匹配原理。收集非正常操作的行為特徵,建立相關的特徵庫,當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。前提:所有的入侵行為都有可被檢測到的特徵。指標:誤報低、漏報高。攻擊特徵庫:當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。特點:採用模式匹配,誤用模式能明顯降低誤報率,但漏報率隨之增加。攻擊特徵的細微變化,會使得誤用檢測無能為力。
『貳』 計算機病毒的主要檢測方法有哪些
1. 比較法
用原始備份與被檢測的引導扇困悶區或文件進行比較。只要用常規DOS軟體和PCTOOLS等工具軟體就可以進行。發現新計算機病毒就只有靠比較法和分析法,有時必須結合這兩者來一同工作。使用比較法能發現異常,如文件的長度有變化,或雖然文件長度未發生變化,但文件內的程序代碼發生了變化。保留好原始備份是非常重要的,製作備份時必須在無計算機病毒的環境里進行。
比較法的好處是簡單、方便,不需專用軟體。缺點是無法確認計算機病毒的種類名稱。另外,造成被檢測程序與原始備份之間差別的原因尚需進一步驗證,這些要用到以後講的分析法,查看變化部分代碼的性質,以此巧冊來確證是否存在計算機病毒。
2. 加總比對法(Checksum)
根據每個程序的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程序的後面,或是將所有檢查碼放在同一個資料庫中,再利用此加總對比系統,以判斷是否感染了計算機病毒。
這種技術可偵測到各式的計算機病毒,但最大的缺點就是誤判斷高,且無法確認是哪種計算機病毒感染的,對於隱形計算機病毒也無法偵測到。
3. 特徵字串搜索法
用每一種計算機病毒體含有的特定字元串對被檢測的對象進行掃描,如果在被檢測對象內部發現了某一種特定位元組串,就表明發現了該位元組串所代表的計算機病毒。國外對這種按搜索法工作的計算機病毒掃描軟體叫Virus Scanner。
4. 人工智慧陷阱技術
一種監測計算機行為的常駐式掃描技術,它將所有計算機病毒所產生的行為歸納起來,一旦發現內存中的程序有任何不當的行為,系統就會有所警覺,並告知使用者。
這種技術的優點是執行速度快、操作簡便,且可以偵測到各式計算機病毒,是一個至少具有主動保護功能的新技術;其缺點就是程序設計難,且不容易考慮周全。
5. 分析法
使用分析法的人不是普通用戶,而是防殺計算機病毒技術人員。分析法是防殺計算機病毒工作中不可缺少的重要技術,任何一個性能優良的防殺計算機病毒系統的研製和開發都離汪寬彎不開專門人員對各種計算機病毒的詳盡而認真的分析。