字體:小 中 大 | |
|
|
2009/11/02 17:30:20瀏覽4532|回應0|推薦0 | |
Intrusion Detection 目前用來偵測系統是否遭到駭客入侵的方法有兩種,分別為:一、anomaly detection;二、misuse detection。anomaly detection 的方法比較偏向於歸納式或統計式的分析,而 misuse detection 的方法則比較偏向於特徵或行為的比對。 Anomaly Detection anomaly detection 的方法是必須先累積一定數量的 log files,接著是分析與歸納這些 log files 的數據,以求得若干個「正常作業活動的輪廓」,這些輪廓就是所謂的 golden logs,隨後的每日作業活動所產生的 log files,都會與 golden logs 做比較,若相異的程度在誤差範圍內,則表示系統沒有遭到入侵,但若相異的程度超過誤差範圍,則表示系統很可能遭到入侵,此時 anomaly detection system 會送出警戒訊息給相關的管理人員,管理人員接到警訊後,會針對攸關的 log files 進行深入的分析,以確認系統是否真得遭到駭客入侵、抑或只是一個 false alarm。 圖 4.1-1 為整個 anomaly detection scheme 的示意圖,而圖 4.1-2 則為 anomaly detection 的一個應用範例,該圖中的藍色實線表示正常的作業活動所使用的 bandwidth 之輪廓,綠色陰影的部分則表示實際所量測到的 bandwidth 使用量。請留意圖 4.1-2 中的 X 軸代表時間,單位為小時,繪製的方向為「由右至左」,Y 軸則代表 bandwidth 的使用量,單位為 36 kilo-byte (kilo-byte means 1024 bytes, not 1000 bytes),繪製的方向為由下往上;據此可知,第二日的凌晨零點到該日的下午一點,該網路的 bandwith 皆呈現出「流量過高」的不正常現象。 |
|
( 創作|其他 ) |