入侵检测技术基础 1. IDS(入侵检测系统)存在与发展的必然性 (1)网络安全本身的复杂性,被动式的防御方式显得力不从心。(2)有关供触垛吠艹杜讹森番缉防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。(3)入侵很容易:入侵教程随处可见;各种工具唾手可得 2. 入侵检测(Intrusion Detection) ●定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测的分类(1)按照分析方法/检测原理分类 ●异常检测(Anomaly Detection):基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。前提:入侵是异常活动的子集。指标:漏报率低,误报率高。用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源 ●误用检测(Misuse Detection):基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。前提:所有的入侵行为都有可被检测到的特征。指标:误报低、漏报高。攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
‘贰’ 计算机病毒的主要检测方法有哪些
1. 比较法
用原始备份与被检测的引导扇困闷区或文件进行比较。只要用常规DOS软件和PCTOOLS等工具软件就可以进行。发现新计算机病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作。使用比较法能发现异常,如文件的长度有变化,或虽然文件长度未发生变化,但文件内的程序代码发生了变化。保留好原始备份是非常重要的,制作备份时必须在无计算机病毒的环境里进行。
比较法的好处是简单、方便,不需专用软件。缺点是无法确认计算机病毒的种类名称。另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,这些要用到以后讲的分析法,查看变化部分代码的性质,以此巧册来确证是否存在计算机病毒。
2. 加总比对法(Checksum)
根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附于程序的后面,或是将所有检查码放在同一个数据库中,再利用此加总对比系统,以判断是否感染了计算机病毒。
这种技术可侦测到各式的计算机病毒,但最大的缺点就是误判断高,且无法确认是哪种计算机病毒感染的,对于隐形计算机病毒也无法侦测到。
3. 特征字串搜索法
用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描,如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的计算机病毒。国外对这种按搜索法工作的计算机病毒扫描软件叫Virus Scanner。
4. 人工智能陷阱技术
一种监测计算机行为的常驻式扫描技术,它将所有计算机病毒所产生的行为归纳起来,一旦发现内存中的程序有任何不当的行为,系统就会有所警觉,并告知使用者。
这种技术的优点是执行速度快、操作简便,且可以侦测到各式计算机病毒,是一个至少具有主动保护功能的新技术;其缺点就是程序设计难,且不容易考虑周全。
5. 分析法
使用分析法的人不是普通用户,而是防杀计算机病毒技术人员。分析法是防杀计算机病毒工作中不可缺少的重要技术,任何一个性能优良的防杀计算机病毒系统的研制和开发都离汪宽弯不开专门人员对各种计算机病毒的详尽而认真的分析。