入侵检测技术重点总结
1.黑客:早先对计算机的非授权访问称为“破解”,而hacking(俗称“黑”)则指那些熟练
使用计算机的高手对计算机技术的运用,这些计算机高手称为“黑客”。随着个人计算
机及网络的出现,“黑客”变成一个贬义词,通常指那些非法侵入他人计算机的人。2.入侵检测(intrusiondetection):就是对入侵行为的发觉,它通过从计算机网络或计算机
系统中的若干关键点收集信息,并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。3.入侵检测系统的六个作用:1)、通过检测和记录网络中的安全违规行为,惩罚网络犯罪,
防止网络入侵事件的发生。2)、检测其他安全措施未能阻止的攻击或安全违规行为。3)、检测黑客在攻击前的探测行为,预先给管理员发出警报。4)、报告计算机系统或网络中存在的安全威胁。5)、提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补。6)、在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
4.tP>tD+tRd的含义:tp:保护安全目标设置各种保护后的防护时间。tD:从入侵者开始发动入
侵开始,系统能够检测到入侵行为所花费的时间。tR:从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。公式的含义:防护时间大于检测时间加上响应时间,那么在入侵危害安全目标之前就能检测到并及时采取防护措施。
5.入侵检测原理的四个阶段:数据收集、数据处理,数据分析,响应处理。
6.攻击产生的原因:信息系统的漏洞是产生攻击的根本原因。7.诱发入侵攻击的主要原因:信息系统本身的漏洞或脆弱性。
8.漏洞的概念:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,它
是可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞会影响到很大范围内的软件及硬件设备,包括操作系统本身及其支撑软件、网络客户和服务器软件、网络路由和安全防火墙等。漏洞是与时间紧密相关的,,一般是程序员编程时的疏忽或者考虑不周导致的。
9.漏洞的具体表现:存储介质不安全,数据的可访问性,信息的聚生性,保密的困难性,
介质的剩磁效应,电磁的泄漏性,通信网络的脆弱性,软件的漏洞。10.漏洞iongde分类(按被利用的方式):物理接触、主机模式、客户机模式、中间人模式。11.入侵检测系统的基本原理主要分四个阶段:数据收集、数据处理、数据分析、响应处
理。
12.常用的5种检测模型:操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列
分析模型。
13.信息系统面临的三种威胁:非人为因素和自然力造成的数据丢失、设备失效、线路阻断;
人为但属于操作人员无意的失误造成的数据丢失;来自外部和内部人员的恶意攻击和入侵。
14.攻击的四个步骤:攻击者都是先隐藏自己;再踩点或预攻击探测,检测目标机器的各种
属性和具备的被攻击条件,然后采取相应的攻击行为,达到自己的目的,最后攻击者会清除痕迹删除自己的行为日志。
Ping扫描:ping是一个DOS命令,它的用途是检测网络的连通状况和分析网络速度。
端口扫描:端口扫描时一种用来查找网络主机开放端口的方法,正确的使用端口扫描,能够起到防止端口攻击的作用。
操作系统识别扫描:黑客入侵过程的关键环节是操作系统的识别与扫描。
漏洞扫描:主要是查找操作系统或网络当中存在什么样的漏洞,并给出详细漏洞报告,引导用户到相关站点下载最新系统漏洞补贴程序,确保系统永远处在最安全的状态下,以减少被攻击的可能性。1.欺骗攻击的类型:IP、ARP、DNS、源路由、URL2.拒绝服务攻击:攻击者想办法让目标主机停止提供服务或资源访问,它是黑客常用的攻
击手段之一。
3.拒绝服务攻击的原理:SYN洪流攻击,IP欺骗拒绝服务攻击,UDP洪流攻击,ping洪
流攻击,泪滴攻击,Land攻击,Smurf攻击,Fraggle攻击。
4.数据库攻击:危害最大的属于SQL注入式攻击。源于英文:SQLInjectionAttack,就其
本质而言,SQL注入式攻击利用的工具是SQL的语法,针对的是应用程序开发者编程过程中的漏洞。当攻击者能够操作数据,往应用程序中插入一些SQL语句时,SQL注入式攻击就发生了。
5.木马攻击:特洛伊木马本质上只是一种远程管理工具,而且本身不带伤害性,也没有感
染力,所以原则上不能成为病毒。特洛伊木马之所以被视为病毒是因为如果有人不正当的使用,其破坏力可以比病毒更强。木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。“冰河”的开放端口是7626.
6.入侵检测系统模型分为3个模块:信息收集模块、信息分析模块、报警与相应模块7.入侵检测利用的信息来源:系统和网络日志文件;目录和文件中不期望的改变;程序执
行中的不期望行为;物理形式的入侵。
8.信息分析的四种方法:模式匹配;统计分析;完整性分析;数据流分析。
9.蜜罐技术:蜜罐是一个安全程序,设计用来观测入侵者如何探测并最终入侵系统,其中
包含一些并不威胁公司机密的数据或应用程序,同时对于入侵者来说又具有很大诱惑力,它安装在网络上的一台专用的计算机上,同时通过一些特殊配置,使该计算机看起来像是一个“有价值”的目标,以引诱潜在的入侵者并捕获他们。
10.蜜网技术:蜜网是一种专门设计用来让人攻击的网络,一旦被入侵者所攻破,入侵者的
一切信息、工具等都将被用来分析和学习,其想法和蜜罐相似,但两者之间还是有些不同。
11.误用入侵检测的思想是:如果所有的入侵行为和手段(及其变种)都能够表达为一种模
式或特征,那么所有已知的入侵方法就可以用匹配的方法来发现。其难点在于如何设计模式,使其既表达入侵又不会将正常的活动包含起来。
12.误用入侵检测系统的类型:专家系统,模型推理系统,模式匹配系统,状态转换分析系
统。
13.异常入侵检测:是与误用入侵检测技术相对应的另一种入侵检测技术。基于异常入侵检
测技术的入侵检测系统首先总结正常操作应该具有的特征,如CPU利用率、缓存剩余空间、用户使用计算机的习惯等,在后续的检测过程中对操作进行监视,一旦发现偏离正常统计学意义上的操作模式,进行报警。
14.典型的3种威胁模型:外部入侵、内部渗透、不当行为
15.异常入侵检测方法:统计分析、模式预测、数据挖掘、神经网络、免疫系统、特征选择、
贝叶斯推理、贝叶斯网络、贝叶斯聚类等9种方法。16.当前模式匹配问题属于串处理(stringprocessing)和模式组合匹配(combinatorialpattern
matching)
精确模式串匹配算法检测符号序列的方式主要分为3种模式:前缀模式、后缀模式、结合模式。
前缀匹配模式KMP(Knuth-Morris-Pratt)。后缀模式主要算法:单串匹配的Boyer-Moore算法和多串匹配的Commentz-Walter算法、Wu-Manber算法。结合模式:BDM(BackwardDAWGMatching)、BOM(BachwardOracleMatching)、SBDM(SetBackwardDAWGMatching)、SBOM(SetBackwardOracleMatching)1.近似模式串匹配算法求解的四种途径:动态规划法、基于自动机的方法、位并行方法、
过滤筛选法。
2.注意:从理论上讲,复杂度低的算法的实现性能可能会低于复杂度高的算法。
3.串匹配算法的四种改进方法:基于自动机算法的改进、基于跳跃算法的改进、基于数值
型算法的改进、基于编码算法的改进。
4.基于主机的入侵检测系统如何检测入侵?通过监视和分析主机的审计日志检测入侵,
审计和日志功能对于系统来说是非常重要的,可以把感兴趣的造作都记录下来,供分析和检查。日志是使系统顺利运行的重要保障。标准的日志功能不能自动过滤和检查日志记录,并提供系统管理员所需要的信息。
5.WindowsNT的日志文件分为3类:系统日志、应用程序日志、安全日志。
6.在WindowsXP操作系统里有Ineternet连接防火墙(ICF),它的日志文件分
为2类:ICF审核通过的IP数据包,ICF抛弃的IP数据包。
7.WindowsXP日志文件存放在C:/WINDOWS目录下,均以.log为文件的扩展名,
其中最重要的一个文件名就是pfirewall.log.8.UNIT采用Syslog工具实现日志功能。
9.入侵特征预处理:系统收集到的原始数据非常庞大,包含许多无用的信息,
格式也各不相同,无法直接输入入侵检测系统。可以采用如Perl脚本等格式化原始数据,并进一步将其归一化为服从均值为0、标准差为1的实数,形成一个18维的样本矢量,作为入侵检测的输入。根据目的不同,这些样本数据可分为训练样本、校验样本、测试样本3种,其中训练样本和校验样本是用于确定最佳模式分类器,测试样本是在工作状态下的待检测数据。10.基于主机的入侵系统的优点:基于主机的入侵系统对分析“可能性的攻击行
为”非常有用;误报率通常低于基于网络的入侵检测系统,这是因为检测在主机上运行的命令序列比检测网络数据流更简单,系统的复杂性也降低的多;可部署在那些不需要广泛的入侵检测、传感器和控制台之间的通信宽带不足的场合。
11.基于主机的入侵系统的缺点:①需要安装在被保护的主机上②它依赖于服务
器固定有的日志与监控能力③全面部署代价比较高④只监控本主机,根本不监控网络上的情况。
12.基于网络的入侵检测系统(NIDS):也称硬件入侵检测系统,放置在比较重
要的网络段,不停地监视网络段中的各种数据包,对每一个数据包或可疑的数据包进行特征分析。基于网络的入侵检测系统是指监测整个网络流量的系统。
13.网卡的两种最常用的用途:1、普通模式:受数据包里面的MAC地址决定,
数据被发送到目的主机2、混杂模式:所有可以被检测到的信息均被主机接收。
14.WinPcap是BPF模型LibPcap函数库在Windows平台下包捕获和网络状态分
析的一种体系结构,这个体系结构是由一个核心的包过滤器、一个底层的动态链接库(Packet.dll)和一个高层的独立于系统的函数库(LibPcap)组成。15.网卡的4种工作模式:广播模式、多播传送、直接模式、混杂模式。16.基于网络的入侵检测系统的优点:成本低、检测基于主机的系统漏掉的攻击、
攻击者不易转移数据、实时监测和响应、检测未成功的攻击和不良意图、操作系统无关性。
17.基于网络的入侵检测系统的缺点:①只检测它直接连接的网络短段得通信,不能检测其他网络段得包②为了性能目标通常采用特征检测方法,可以检测出普通的一些攻击,很难实现一些复杂的需要大量计算和分析时间的攻击检测③可能会将大量的数据传回分析系统中④处理加密的会话过程比较困难。
18.为了提高系统对新型变种攻击的适应性,用反向传播(BackPropagation,BP)
人工神经网络技术构造异常入侵分析器。
19.对BP神经网络实现分类模型时要考虑的问题:中间层(隐含层)数的选取、
输入层和输出层维数、隐含层神经元数、权重初始化、训练样本的选取20.比较常用的数据挖掘算法:分类算法、关联规则挖掘算法、序列模式挖掘算
法。
21.协议分析是新一代入侵检测系统探测攻击手法的主要技术,他利用网络协议
的高度规则性快速探测攻击的存在,它的优势在于完整的协议分析使误报率降低,从而提高系统的性能。
22.基于协议分析的入侵检测的方法将高速包捕获、协议分析和命令解析结合起
来进行入侵检测,是一种新的入侵检测技术,它弥补了模式匹配技术的不足。23.基于入侵容忍的入侵检测:入侵容忍是容错方法在安全中的应用,这种方法
假设系统的弱点不能被完全消除,并且,外部攻击者或内部恶意的攻击者将识别和利用这种弱点获得对系统的违法访问。入侵容忍的目标是:在系统有些部分被入侵、性能下降的情况下还可以维持系统的正常服务。24.现在的入侵检测系统大多数都采用单一体系结构,它的缺点:可扩展性较差、
单点失效、系统缺乏灵活性和可配置性。
25.分布式入侵检测系统的特征:分布式部署、分布分析、安全产品的联动、系
统管理平台、可伸缩性和扩展性。
26.完整的入侵检测系统包含的10个模块:数据探测模块、主体模块、分析模
块、关联与融合模块、控制模块、决策模块、协调与互动模块、安全响应模块、数据库模块、人机界面。
27.分布式入侵检测体系的优点:节点之间的相对独立性、强调了安全部件的联
动、可以实现全局预警、体系结构的灵活性和可扩展性。
28.推动基于主体系统的开放,主体技术必须解决的关键问题:主体间的通信、
主体内部构造、主体生命周期管理、主体的移动、主体的代理功能、主体的安全、身份和相关策略、系统的软件开发方法。
29.入侵检测系统主体分为三类:中心主体;分析主体;主机主体和网络主体。30.知识查询和操纵语言(KQML)的三大属性:KQML独立于网络传输协议(如:
TCP、STMP);KQML独立于内容语言(如:SQL、OWL、PROLOG、);KQLM独立于内容实体。
31.美国国防高级研究计划署(DARPA)提出的建议草案是:公共入侵检测框架
(CIDF),最早由加州大学戴维斯分校安全试验室主持起草工作。
32.IDWG(入侵检测工作组)提出的草案包括3个部分:入侵检测消息交换格
式(IDMEF)、入侵检测交换协议(IDXP)、隧道轮廓(tunnelprofile)。
33.入侵检测系统分维个基本组件:事件产生器、事件分析器、响应单元、事件
数据库。
34.公共入侵检测框(CIDF)的通信机制主要涉及消息的封装和传递,共4个方
面:配对服务、路由、消息层、消息层处理。
35.入侵检测系统的性能指标简介:数据流量、每秒抓包数、每秒能监控的网络连接数、每秒能够处理的事件数。
36.入侵检测系统的测试步骤:创建或选择一些测试工具或测试脚本;确定计算
机环境所要求的条件,比如背景计算机活动的级别;配置运行入侵检测系统;运行测试工具或测试脚本;分析入侵检测系统的检测结果。37.DIDS(DistributedInterusionDectionSystem)由美国加州大学Davis分校提出,
初衷是:将基于主机和基于网络的入侵检测系统结合起来,用来追踪使用者在网络中的移动和行为。DIDS采用“分布采集、集中处理”的策略。
38.CSM(CooperatingSecurityManagers)由美国TexasA&M大学提出,设计初
衷:克服DIDS集中分析的缺点,采用对等(PeertoPeer)机制来组织系统。39.AAFI(AutonomousAgentsforIntrusionDetection)由普渡大学设计的一种分布
式入侵检测系统,首次在入侵检测中提出来自治代理的概念。
40.NetSTAT入侵检测系统是由美国加州大学圣塔芭芭拉分校(UCSB)的可靠软
件小组研究、开发的,该系统将STAT转台转移技术扩展应用到网络环境中。41.MAIDS(MobileAgentsIntrusionDetectionSystem)由美国Iowa州大学提出,它
提出来一整套的理论和实现技术,将“需求工程”(RequirementEngineering)和代理系统结构结合起来。
42.入侵检测系统产品的特征:市场持续增长、一线厂商稳定发展、二线厂商竞
争激烈、外国厂商表现平平、格局预测。
43.入侵检测系统产品的易用性包括5个方面:界面易用、帮助易用、策略容易
编辑、日志报告灵活、报警事件优化技术。
44.Snort是由MartinRoesch等人开发的,它具有实时数据流量分析和记录IP
网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。
45.Snort的3种工作模式:嗅探器、包记录器和网络入侵检测系统。在嗅探模
式下,Snort仅是从网络上读取包,并作为连续不断的流显示在终端上。在包记录器模式下,Snort把包记录到硬盘上。网络入侵检测系统模式是最复杂的,而且是可配置的;可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
46.Snort入侵检测系统概述:Snort可以是一个基于libpcap的轻量级网络入侵
检测系统;Snort采用一种易于扩展的模块化体系结构;Snort是一个自由、简洁、快速、易于扩展的入侵检测系统。
47.Snort的各个组成部分:解码器、检测引擎、日志/报警系统。
48.现有入侵检测技术的局限性:误报和漏报的矛盾、隐私和安全的矛盾、被动
分析与主动分析的矛盾、海量信息与分析代价的矛盾、功能性和可管理性的矛盾、单一产品与复杂的网络应用的矛盾。
49.入侵技术的发展与演化主要表现的方面:入侵或攻击的综合化与复杂化;入
侵主机的间接化;入侵或攻击的规模扩大;入侵或攻击技术的分布化;攻击对象的转移。
50.网络入侵技术的发展经历的3个阶段:入侵检测系统(IDS);入侵防御系统
(IPS);入侵管理系统(IMS)。
51.为了避免Apacap监听端口与web服务器默认的端口发生冲突,必须更改监听端口。方
法是:打开配置文件C:\\Apache2\\conf\\heepd.conf,将其中监听端口8080更改为不常用的端口50080。
扩展阅读:入侵检测技术总结
入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。
入侵检测(IntrusionDetection)是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。审计数据的获取是主机入侵检测技术的重要基石,是进行主机入侵检测的信息来源。网络数据包的截获是基于网络的入侵检测技术的工作基石。
根据网络类型的不同,网络数据截获可以通过两种方法实现:一种是利用以太网络的广播特性,另一种是通过设置路由器的监听端口或者是镜像端口来实现。
主机入侵检测所要进行的主要工作就是审计数据的预处理工作,包括映射、过滤和格式转换等操作。预处理工作的必要性体现在一下几个方面:①不同目标系统环境的审计记录格式不相同,对其进行格式转换的预处理操作形成标准记录格式后,将有利于系统在不同目标平台系统之间的移植;同时,有利于形成单一格式的标准审计记录流,便于后继的处理模块进行检测工作②对于审计系统而言,系统中所发生的所有可审计活动都会生成对应的审计记录,因此对某个时间段而言,审计记录的生成速度是非常快的,而其中往往大量充斥着对于入侵检测而言无用的事件记录。所以,需要对审计记录流进行必要的映射和过滤等操作。
构建状态转移图的过程大致分为如下步骤:①分析具体的攻击行为,理解内在机理②确定攻击过程中的关键行为点③确定初始状态和最终状态
④从最终状态出发,逐步确定所需的各个中间状态及其应该满足的状态断言组
文件完整性检查的目的是检查主机系统中文件系统的完整性,及时发现潜在的针对文件系统的无意或者恶意的更改。
检测引擎的设计是基于网络入侵检测的核心问题。检测引擎可分为两大类:嵌入式规则检测引擎和可编程的检测引擎。类型优点在小规则集合情况下,工作速度快检测规则易于编写、便于理解并且容易进行定制对新出现的攻击手段,具备快速升级支持能力对低层的简单脚本攻击行为,具备良好的检测性能对所发生的攻击行为类型,具备确定性的解释能力缺点随着规则集合规模的扩大,检查速度迅速下降各种变种的攻击行为,易于造成过度膨胀的规则集合较易产生虚警信息仅能检测到已知的攻击类型,前提是该种攻击类型的检测特征已知在小规则集合情况下,初始的检测速度相对较慢检测规则比较复杂,难以编写和理解并且通常是由特定厂商实现协议复杂性的扩展以及实际实现的多样性,容易导致规则扩展的困难对发现的攻击行为类型,缺乏明确的解释信息特征分析协议分析具备良好的性能可扩展性,特别是在规则集合规模较大的情况下能够发现最新的未知安全漏洞(Zero-DayExploits)较少出现虚警信息DIDS(DistributionIntrusionDetectionSystem)分布式入侵检测系统主要包括3种类型的组件:主机监控器(HostMonitor)、局域网监控器(LANMonitor)和中央控制台(Director)。
主机监控器由主机事件发生器(HostEventGenerator,HEG)和主机代理(HostAgent)组成。
局域网监控器由局域网事件发生器(LANEventGenerator,LEG)和局域网代理(LANAgent)组成。控制台主要包括3个部分:通信管理器(CommunicationManager)、专家系统和用户接口。入侵检测专家系统(IDES,IntrusionDetectionExpertSystem)是一个混合型的入侵检测系统,使用一个在当时来说是创新的统计分析算法来检测异常入侵行为,同时,该系统还用一个专家系统检测模块来对已知的入侵攻击模式进行检测。
人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。
神经网络技术应用于入侵检测领域具有以下优势:①神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。②神经网络具备高度的学习和自适应能力。③神经网络所独有的内在并行计算和存储特性。
神经网络技术在入侵检测中的应用还存在以下缺陷和不足:①需要解决神经网络对大容量入侵行为类型的学习能力问题。②需要解决神经网络的解释能力不足的问题。③执行速度问题。
数据挖掘(DataMining)是所谓“数据库知识发现”(KnowledgeDiscoveryinDatabase,KDD)技术中的一个关键步骤,其提出的背景是解决日益增长的数据量与快速分析数据要求之间的矛盾问题,目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。
数据融合(Datafusion)是一种多层次的、多方面的处理过程,这个过程是对多源数据进行检测、结合、相关估计和组合以达到精确的状态估计和身份估计,以及完整、及时的态势评估、本地资产评估和威胁评估。简言之,数据融合的基本目的就是通过组合,可以比从任何单个输入数据元素获得更多的信息。进化计算的主要算法包括以下5中类型:遗传算法(GeneticAlgorithm,GA)、进化规划(EvolutionaryProgramming,EP)、进化策略(EvolutionaryStrategies,ES)、分类器系统(ClassifierSystem,CFS)和遗传规划(GeneticProgramming,GP)。
1、检测功能需求2、响应需求3、操作需求4、平台范围需求5、数据来源需求6、检测性能需求7、可伸缩性需求8、取证和诉讼需求9、其他需求1、机制的经济性原则2、可靠默认原则3、完全调节原则4、开放设计原则5、特权分割原则6、最小权限原则7、最小通用原则8、心理科接受原则用户需求分析入侵检测系统的设计考虑系统安全设计原则系统设计的生命周期时钟活动档案(ActivityProfile)规则库(Ruleset)事件生成器(EventGenerator)审计记录/网络数据包/应用程序日志通用入侵检测模型
事件生成器从给定的数据来源中(包括主机审计数据、网络数据包和应用程序的日志信息等),生成入侵检测事件,并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件,自动更新系统行为的活动档案;规则库根据当前系统活动档案和当前事件的情况,发现异常活动情况,并可以按照一定的时间规则自动地删减规则库中的规则集合。
知识库配置信息检测器警报信息控制器数据收集器控制动作审计数据等目标系统通用入侵检测系统模型
①数据收集器(又可称为探测器):主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索
的系统数据。比如网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来,然后发送到检测器进行处理。②探测器(又可称为分析器或检测引擎):负责分析和检测入侵的任务,并发出警报信号。③知识库:提供必要的数据信息支持。例如用户历史活动档案,或者是检测规则集合等。④控制器:根据警报信号,人工或者自动做出反应动作。PDR模型是一个动态的计算机系统安全理论模型。PDR是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)的缩写,特点是动态性和基于时间的特性。
Protection22
PolicyDetectionResponseP2DR安全模型
①策略:PDR模型的核心内容。具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的
各种具体安全措施及其实施强度等。安全措施的实施必然会影响到系统运行的性能,以及牺牲用户操作的舒适度,因此安全策略必须按需而制。②防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备,例如防火墙、VPN
设备等。③检测:在采取各种安全措施中,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。④响应:当发现了入侵活动或入侵结果后,需要系统做出及时的反应并采取措施,其中包括:记录入侵行为、
通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。
2原型实现用户反馈功能定义需求定义
整个周期过程是螺旋式上升过程,前一个周期的原型实现阶段完成后,在经过一个用户反馈的环节后,再次进入下一个周期过程中的需求定义环节。在新的需求定义阶段,将根据用户的需求反馈意见,再次更改原有的需求定义和分析规范,形成新的需求定义文档,从而推动下一个设计的周期过程。如此循环反复,直至满足设定的要求。
系统设计的生命周期
友情提示:本文中关于《入侵检测技术重点总结》给出的范例仅供您参考拓展思维使用,入侵检测技术重点总结:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
《入侵检测技术重点总结》
由互联网用户整理提供,转载分享请保留原作者信息,谢谢!
http://m.bsmz.net/gongwen/747890.html
- 上一篇:工业化学品的销售方法总结
- 下一篇:火灾实验报告 建筑楼宇自动化