» 第一章  信息安全概述



                   1.系统组成
                   IETF将一个入侵检测系统分为四个组件：
                   事件产生器（Event generators），它的目的是从整个计算环境中获得事件，并向
               系统的其他部分提供此事件。
                   事件分析器（Event analyzers），它经过分析得到数据，并产生分析结果。

                   响应单元（Response units），它是对分析结果作出反应的功能单元，它可以做出
               切断连接、改变文件属性等强烈反应，也可以只是简单的报警。
                   事件数据库（Event databases）事件数据库是存放各种中间和最终数据的地方的

               统称，它可以是复杂的数据库，也可以是简单的文本文件。
                   2.检查方法
                   （1）异常检测方法
                   在异常入侵检测系统中常常采用以下几种检测方法：

                   一是基于贝叶斯推理检测法：是通过在任何给定的时刻，测量变量值，推理判断
               系统是否发生入侵事件。
                   二是基于特征选择检测法：指从一组度量中挑选出能检测入侵的度量，用它来对

               入侵行为进行预测或分类。
                   三是基于贝叶斯网络检测法：用图形方式表示随机变量之间的关系。通过指定的
               与邻接节点相关一个小的概率集来计算随机变量的连接概率分布。按给定全部节点组
               合，所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图，
               弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时，就允许将它吸收为

               证据，为其他的剩余随机变量条件值判断提供计算框架。
                   四是基于模式预测的检测法：事件序列不是随机发生的而是遵循某种可辨别的模
               式是基于模式预测的异常检测法的假设条件，其特点是事件序列及相互联系被考虑到

               了，只关心少数相关安全事件是该检测法的最大优点。
                   五是基于统计的异常检测法：是根据用户对象的活动为每个用户都建立一个特
               征轮廓表，通过对当前特征与以前已经建立的特征进行比较，来判断当前行为的异常
               性。用户特征轮廓表要根据审计记录情况不断更新，其保护去多衡量指标，这些指标

               值要根据经验值或一段时间内的统计而得到。
                   六是基于机器学习检测法：是根据离散数据临时序列学习获得网络、系统和个体
               的行为特征，并提出了一个实例学习法IBL，IBL是基于相似度，该方法通过新的序列
               相似度计算将原始数据（如离散事件流和无序的记录）转化成可度量的空间。然后，

               应用IBL学习技术和一种新的基于序列的分类方法，发现异常类型事件，从而检测入
               侵行为。其中，成员分类的概率由阈值的选取来决定。


                                                                                          • 19 •