在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用三种分析方法中不包括( )
入侵检测系统一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时入侵检测,而完整性分析则用于事后分析。
(1)模式匹配
模式匹配就是将收集到信息与已知网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略行为。该方法一大优点是只需收集相关数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用方法一样,检测准确率和效率都相当高。但是,该方法存在弱点是需要不断升级以对付不断出现黑客攻击手法,不能检测以前从未出现过黑客攻击手段。
(2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时一些测量属性(如访问次数、操作失败次数和延时等)。测量属性平均值将被用来与网络、系统行为进行比较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可检测到未知入侵和更为复杂入侵,缺点是误报、漏报率高,且不适应用户正常行为突然改变。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录内容及属性,它在发现被修改成类似特洛伊木马应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是有入侵行为导致了文件或其他对象任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。
