定义,所以能有效检测未知的入侵。
由于不可能对系统内所有用户的行为作出全面精确的描述,并且用户的行为是经常改变的,所以异常检测具有误报率较高的缺点。
2、误用检测模型(Misuse Detection Model) 检测与已知的不可接受行为之问的匹配程度。
如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。
收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
这种检测模型误报率低、漏报率高。
对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
误用检测技术的优点是能够针对入侵行为构造有效的检测系统,其准确度较高,但是只能检测已知的入侵行为,不能检测未知的行为和已知行为的变种。
误用检测的关键是入侵行为的表达和攻击签名的构造。
目前WEB防护中采用的入侵检测系统绝大多数采用的是误用型检测模型。
Snort是一个丌源的误用型网络入侵检测系统,给我们提供了一个非常优秀的公丌源代码的入侵检测系统范例。
我们可以通过对其代码的分析,搞清IDS究竟是如何工作的,并在此基础上根据所设计系统的需要添加自己的想法。
下面我们对Snort系统丌展研究。
2.2 Snort检测引擎的研究 Snort是一个开放源代码的网络入侵检测系统,由Martin Roesch编写,并由世界各地的程序员共同维护和升级。
Snort是一个基于Winpcap数据包嗅探器的优秀的轻量级网络入侵检测系统。
所谓“轻量级”是指检测时尽可能低地影响网络的操作。
它的工作原理是:在共享的网络上监测原始的网络数据,通过分析截获的数掘包判断是否有入侵行为发生。
从检测技术上讲,Snort属于误用检测。
它采用基于规则的方式,将数据包内容进行规则匹配来判断是否有攻击行为发生。
Snort具有实时报警功能。
系统采用命令行丌关选项的方式进行配置。
系统检测引擎采用一种简单的规则语言‘进行编程,用于描述对每一个数据包进行的测试和对应的相应动作Ⅲ。
6 北京.
上一篇:
基于Seasar2框架考勤结算信息系统设计与实现
下一篇:
关于听觉掩蔽的语音增强算法及DSP实现