2.检测模型研究
对于预警系统来说,确定检测模型是最重要的。由于入侵活动的复杂性,仅仅依靠了解入侵方法还不能完全实现预警,还应有适当的检测模型与之配合。在预警技术研究中,入侵检测模型是关键技术之一。
按入侵检测的手段来划分,入侵检测模型可以分为基于网络和基于系统两种模型。基于网络的模型通过实时监视网络上的数据流,来寻找具有网络攻击特征的活动;而基于系统的模型则通过分析系统的审计数据来发现可疑的活动。这两种模型具有互补性,基于网络的模型能够客观地反映网络活动,特别是能够监视到系统审计的盲区;而基于系统的模型能够更加精确地监视系统中的各种活动。基于网络的模型受交换网的限制,而基于系统的模型不受交换网的影响。
按入侵检测的策略来划分,入侵检测模型可以分为基于异常特征和基于正常特征两类模型。异常特征模型建立在已知的入侵模式库基础上,正常特征模型则建立在系统正常工作模式基础上。后一类模型包括两个方面:一是为用户和系统建立正常行为特征,二是观察实际的系统和用户活动与所建立的正常行为是否存在差异。
同样,这两类模型也具有互补性。异常特征模型能够精确地检测已知的入侵活动,误警率低;而对于一个确定的应用环境,正常特征模型会拥有一个比较精确的系统正常工作模式,从而发现一切偏离正常模式的活动,包括一些未知的入侵活动。
3.审计分析策略研究
预警技术研究的另一个重点是对审计数据的分析处理,其中包括威胁来源的识别、企图的判定、危害程度和能力的判断等。预警所产生的审计数据是检测与预警的宝贵资源。这些审计数据量可能很大,如果缺乏有效的分析手段,将会浪费这一资源。
21世纪的信息基础设施是社会各种活动的基础舞台,在可以预见的时间内,完全杜绝针对信息基础设施的不良行为是不可能的。强化管理加上必要的技术手段是解决问题的途径之一。
(T115)
<<上一页
1
2
3
