网络安全与IDS总结
网络信息安全防护中的入侵检测系统(IDS)与入侵防御系统(IPS)
网络信息安全防护中的入侵检测系统(IDS)与入侵防御系统(IPS)网络信息安全是当今社会中一个非常重要的议题。
随着互联网的快速发展,人们的网络活动越来越频繁,同时也给网络安全带来了更大的挑战。
入侵检测系统(Intrusion Detection System,简称IDS)与入侵防御系统(Intrusion Prevention System,简称IPS)是网络信息安全防护中两个重要的组成部分。
一、入侵检测系统(IDS)入侵检测系统(IDS)是一种用于监控网络流量并识别潜在的入侵行为的工具。
它通过分析和检测网络流量中的异常活动来判断是否存在安全漏洞或者攻击行为。
入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。
主机入侵检测系统(Host-based IDS)主要针对单一主机进行监测和防御,它通过监控主机的操作系统、应用程序和系统日志等信息来检测潜在的入侵行为。
主机入侵检测系统可以及时发现主机上的异常行为并向管理员报警,从而加强对主机的安全保护。
网络入侵检测系统(Network-based IDS)则是在网络层面对整个网络进行监控和防御。
它通过监听网络流量,分析和检测网络中的恶意行为或异常活动。
网络入侵检测系统可以对网络入侵进行实时监测和识别,从而提高网络的安全性。
二、入侵防御系统(IPS)入侵防御系统(IPS)是在入侵检测系统的基础上进一步发展而来的。
与入侵检测系统相比,入侵防御系统不仅可以监测和检测网络中的入侵行为,还可以主动地采取措施来阻止攻击行为。
入侵防御系统可以对检测到的入侵行为进行实时响应,并对攻击行为进行阻断和防御,从而保护网络的安全。
入侵防御系统可以分为网络入侵防御系统(Network-based IPS)和主机入侵防御系统(Host-based IPS)两种类型。
网络入侵防御系统(Network-based IPS)主要通过在网络中插入防火墙等设备,对网络流量进行实时监控和分析,当检测到潜在的攻击行为时,可以及时采取相应的防御措施,比如阻断恶意的网络连接,保护网络的安全。
常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)
常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)网络入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)是当今网络安全领域中非常重要的组成部分。
它们被广泛应用于各种网络环境中,包括企业网络、个人用户网络等。
本文将介绍一些常见的网络入侵检测系统和入侵防御系统,并探讨它们的工作原理和应用。
一、网络入侵检测系统(IDS)网络入侵检测系统用于监测网络中的异常活动和入侵行为。
它通过分析网络流量和系统日志来发现潜在的入侵事件,并及时进行警报。
IDS可以分为两种类型:基于签名的IDS和基于行为的IDS。
1.1 基于签名的IDS基于签名的IDS使用预定义的规则集合(也称为签名)来检测已知的入侵行为。
这些规则基于已知的攻击模式和攻击者使用的特定工具或技术。
当网络流量或系统日志与这些签名匹配时,IDS会发出警报。
1.2 基于行为的IDS基于行为的IDS通过对网络流量和系统行为的实时监测来检测未知的入侵行为。
它使用机器学习和行为分析算法来建立正常网络活动的基线,当检测到偏离基线的行为时,IDS会发出警报。
二、入侵防御系统(IPS)入侵防御系统与入侵检测系统类似,但不仅仅是检测入侵行为,还可以主动地阻止潜在的攻击。
IPS可以分为两种类型:基于规则的IPS和基于行为的IPS。
2.1 基于规则的IPS基于规则的IPS使用与IDS相似的签名规则集合来检测已知的入侵行为,并采取相应的阻止措施,比如阻止源IP地址或关闭特定的网络服务。
它可以在实时中断攻击流量或阻断攻击者与目标之间的连接。
2.2 基于行为的IPS基于行为的IPS通过分析网络流量和系统行为来检测未知的入侵行为,并采取相应的阻止措施。
它使用机器学习和行为分析算法来建立正常网络活动的基线,并监测偏离基线的行为。
当检测到异常行为时,IPS会实时采取措施进行防御。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
网络安全 第8章IDS
被动响应 记录事件和报警
8.2 IDS技术
1 IDS检测技术 2 主机和网络 3 协议分析 4 其他高级IDS技术 5 IDS与防火墙联动
1 IDS检测技术
IDS检测技术 异常检测模型:首先总结正常操作应该具有的特征 (用户轮廓),当用户活动与正常行为有重大偏离时 即被认为是入侵
Intrusion Signature Match System Audit No Signature Match Metrics Pattern Matcher Normal Activity
3.
4.
指标 错报低 漏报高
误用检测模型
优点:
算法简单、系统开销小、准确率高、效率高
缺点:
被动:只能检测出已知攻击 、新类型的攻击会对系统造
CPU
Process Size
Relatively high false positive rate anomalies can just be new normal activities.
误用检测(Misuse Detection)
思想:主要是通过某种方式预先定义入侵行为, 然后监视系统,从中找出符合预先定义规则的 入侵行为 误用信号需要对入侵的特征、环境、次序以及 完成入侵的事件相互间的关系进行描述
IDS的组成
2 IDS功能
监控、分析用户和系统活动
实现入侵检测任务的前提条件
发现入侵企图或异常现象
一是对进出网络或主机的数据流进行监控,看是否存在对系统
的入侵行为; 另一个是评估系统关键资源和数据文件的完整性,看系统是否 已经遭受了入侵。
记录、报警和响应
网络安全与网络入侵检测系统(IDS)
网络安全与网络入侵检测系统(IDS)在当今信息化时代,网络已经深入到我们生活的方方面面,极大地方便了我们的日常工作和生活。
然而,网络的普及也带来了一系列的问题,其中网络安全问题备受关注。
为了保障网络的安全性,网络入侵检测系统(IDS)应运而生。
本文将为大家介绍网络安全以及网络入侵检测系统的原理与应用。
一、网络安全概述网络安全是指在网络环境下,对网络和系统进行保护,以防止未经授权的访问、使用、披露、破坏、更改、中断或拒绝授权使用网络、系统及其存储、传输和处理的信息。
简言之,网络安全是保护计算机网络免受黑客、病毒、间谍软件等各种威胁的一系列措施。
随着互联网规模的扩大和技术的飞速发展,网络安全形势愈发严峻。
黑客攻击、数据泄露、网络诈骗等事件频频发生,给个人和企业的信息资产造成了严重的损失。
因此,网络安全问题亟待解决。
二、网络入侵检测系统原理网络入侵检测系统(IDS)是通过监控和记录网络流量,检测疑似入侵行为,并及时报警或采取防御措施的系统。
其主要原理分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)两种。
1.主机入侵检测系统(HIDS)主机入侵检测系统主要通过监控和分析主机上的日志、文件以及系统调用等信息,检测是否存在异常行为。
一旦检测到入侵行为,系统会立即通过警报或者采取防御措施进行反应。
HIDS可以对主机上的恶意软件、木马、异常访问等进行实时监控,是网络安全的重要组成部分。
2.网络入侵检测系统(NIDS)网络入侵检测系统是在网络环境下对网络流量进行监控和分析,以检测恶意行为。
NIDS依靠网络流量捕获和分析技术,对网络中传输的数据进行深度包检测,判断是否存在入侵行为。
当检测到异常时,NIDS会及时发送警报并进行记录,以便分析和处理。
三、网络入侵检测系统的应用网络入侵检测系统在当今网络安全领域发挥着重要的作用。
其应用范围包括以下几个方面:1.实时监控和检测网络入侵IDS能够对网络流量进行实时监控和检测,及时发现和阻止黑客入侵、病毒攻击等恶意行为,保障网络的安全性。
网络安全工作总结【5篇】
网络安全工作总结【5篇】作为一名网络安全工作者,我在工作中积累了很多经验和技能。
以下是我关于网络安全工作的五篇总结:1. 网络安全体系建设总结在网络安全体系建设中,需要对系统进行全面的安全评估,包括网络漏洞扫描、风险评估、硬件设施评估等,以形成全面的安全体系。
同时必须重视安全人员的培训,持续的安全教育能够提高员工的安全意识及技能,同时必须建立一个完整的警报机制,及时处置安全问题,有效预防入侵事件的发生。
2. 应用安全测试实践总结应用安全测试是判断应用系统是否存在安全漏洞和缺陷的有效方法之一,需要采用多样的测试方法,包括负载测试、漏洞扫描测试、渗透测试等,定期测试、发现并修复网站漏洞和黑客攻击,与时俱进才能保障系统安全。
3. 网络防御和攻击检测总结网络防御和攻击检测是网络安全工作中非常重要的一环,需要根据威胁情况,高度识别国内外的攻击方式、评估攻击潜力、统计攻击路径,同时通过建立过程化预案,实现安全防御,以达到早发现早处理,并抵御下一次攻击的目的。
4. 安全策略制定和实施总结安全策略制定和实施是网络安全保护的基础,涉及到人员、设备、技术和管理等多方面的因素,关键点在于确定以何种保护方式、安全评估手段,达到对网络安全的有效保护。
然后,必须该制定相应的应急预案,做好硬件和软件方面的定期更新和检测,以及处理突发事件。
5. 风险管理总结风险管理是网络安全中重要的环节之一,必须制定详细的风险管理计划,对组织内的所有信息和资产进行分类、评估和目标化管理,并做到及时更新和动态化管理,以保障资产安全性。
风险分析和控制级别,需要根据公司的业务特点,合理设置措施、流程和技术,这也是风险管理的核心内容。
1. 网络安全体系建设总结在网络安全体系建设中,开展全面安全评估是必不可少的。
流程化的评估流程可以确保全面的安全覆盖,及时发现潜在的风险问题,为未来的安全防护预案提供依据。
需要关注的评估内容包括但不限于:网络架构的漏洞、用户权限的管理、数据安全、网络设备的配置等。
网络安全探针
网络安全探针网络安全探针是指通过对网络流量进行监控和分析,发现和防止网络攻击的一种设备或软件。
它可以帮助网络管理员实时监控网络活动,发现网络威胁,并采取相应措施加以防范。
网络安全探针主要包括入侵检测系统(Intrusion Detection System,简称IDS)和入侵防御系统(Intrusion Prevention System,简称IPS)两种。
入侵检测系统(IDS)是指通过监测和分析网络流量,发现和报告网络攻击事件的一种系统。
其工作原理是通过与既有攻击特征相比较,识别出网络流量中的恶意行为,并及时报警。
IDS可以分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)两种。
前者通过监控网络流量来发现攻击行为,后者通过监控主机的操作系统和应用程序来发现攻击行为。
然而,IDS也存在一些缺点,例如误报率高、漏报率高、对新型攻击无法及时响应等。
入侵防御系统(IPS)是在入侵检测系统基础上进一步发展而来的一种网络安全探针。
它不仅可以发现网络攻击行为,还可以采取主动措施阻止攻击者进一步入侵。
IPS可以对攻击流量进行阻断、过滤、重组或修改,以保护目标系统的安全。
与IDS相比,IPS在进行攻击识别和防御方面更加主动和灵活。
网络安全探针作为一种网络安全设备或软件,扮演着保护网络安全的重要角色。
它可以帮助网络管理员发现并阻止各种网络攻击,保护网络系统免受恶意攻击的侵害。
同时,网络安全探针也可以提供实时的网络流量分析和报告,帮助网络管理员了解网络使用情况,优化网络架构和配置,提高网络性能和安全性。
然而,网络安全探针也存在一些问题和挑战。
首先,网络安全攻击技术不断发展,攻击者可以采用各种手段规避探针的检测,增加网络安全防御的难度。
其次,网络安全探针需要具备强大的处理能力和高效的算法,才能在大规模的网络环境下进行实时监控和分析。
此外,网络安全探针还需要与其他安全设备或系统进行协同工作,形成完整的网络安全解决方案。
网络安全防护的入侵检测与响应(IDSIPS)实时保护网络安全
网络安全防护的入侵检测与响应(IDSIPS)实时保护网络安全网络安全防护的入侵检测与响应(IDS/IPS)实时保护网络安全随着人们在互联网上的活动越来越频繁,网络安全问题也愈发凸显。
黑客入侵、数据泄露等安全威胁给个人和组织带来了巨大的风险与损失。
为了能够及时发现和应对潜在的网络安全威胁,入侵检测系统(IDS)和入侵防御系统(IPS)被广泛应用于网络安全防护中。
一、入侵检测系统(IDS)入侵检测系统(IDS)是一种能够主动监测和识别网络攻击的系统。
它通过分析网络流量、检测异常行为和特征来发现潜在的入侵威胁。
IDS主要分为两种类型:基于主机的IDS和基于网络的IDS。
基于主机的IDS主要通过监控和分析主机的系统日志、文件完整性、进程行为等来检测潜在的入侵活动。
它可以对每台主机进行细粒度的监控,在主机内部实现安全事件的检测与分析。
借助主机本身的资源和特殊权能,基于主机的IDS能够对系统内活动进行深入审计,对细节进行更精细的监控。
基于网络的IDS则是通过监控网络流量、分析协议行为、识别异常流量等方式来实现入侵检测。
这种IDS可以在网络层或应用层进行监测,能够在网络中迅速发现潜在的入侵行为,并及时报警或采取相应的防御措施。
基于网络的IDS通常部署在网络的关键位置,如边界网关、内部交换机等,以实现对整个网络的全面监测和保护。
二、入侵防御系统(IPS)入侵防御系统(IPS)是基于IDS的基础上进一步发展而来的系统,它不仅能够检测入侵威胁,还能主动采取措施进行防御。
IPS在发现异常活动后,可以自动阻断攻击流量、封锁攻击源等,以降低网络安全风险。
在实际应用中,IDS和IPS经常被集成在一起,形成统一的入侵检测与响应系统。
IPS采用的防御措施包括但不限于:流量过滤、入侵阻断、攻击重定向、流量清洗等。
它可以通过解析攻击负载、检测危险特征等方式实现入侵活动的准确定位和防御。
而IDS和IPS联合使用,可以实现有效的入侵检测和防御,提高网络安全的整体水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
可控性:对信息的传播及内容具有控制能力。 可审查性:
• 出现安全问题时提供依据与手段构建网络安全系统,一方面由于要进行认证、 加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的 灵活性;另一方面也增加了管理费用。
Company Logo
二.影响网络安全的因素
网络结构因素
核心交换机
服务器
IDS
Company Logo
典型的基于网络的入侵检测系统 Snort
Snort:
是一个用C语言开发的开源网络入侵检测系统,目前,Snort已发展成为 一个集多平台,实时流量分析,网络IP数据包记录等特性的强大的网络入侵 检测/防御系统。
Snort可以三个模式运行:
侦测模式(Sniffer Mode):此模式下,Snort将在捕获网段内的所有数 据包,并显示在屏幕上。 封包纪录模式:此模式下,Snort将已捕获的数据包存入储存硬盘中。 上线模式(inline mode):此模式下,Snort可对捕获到的数据包做分析 的动作,并根据一定的规则来判断是否有网络攻击行为的出现。
Company Logo
网络安全与IDS
网络安全概述
入侵检测系统IDS
IDS的未来
Company Logo
网络安全
网络安全
一.什么是网 络安全
三.常见的入 侵方法
二.影响网络 安全的因素
Company Logo
一.什么是网络安全
网络安全:
是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或 者恶意的原因而遭受到破坏、更改、泄露,系统能连续可靠正常地运行, 网络服务不中断。
5.通过对POP3服务器发出上千次同一命令而导致的 DoS攻击
通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上 限,而发出报警信息。
6.未登录情况下使用文件和目录命令对FTP服务器的文 件访问攻击
Company Logo
统计分析
1.统计分析方法首先给系统对象创建一个统计描 述 2.统计模型常用异常检测: 在统计模型中常用的测量参数包括:审计事件 的数量、间隔时间、资源消耗情况等。 3. 比较测量属性的平均值与网络、系统的行为
多元模型:
操作模型的扩展,通过同时分析多个参数实现检测。
马尔柯夫过程模型:
将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态 的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可 能是异常事件。
时间序列分析:
将事件计数与资源耗用根据时间排成序列,如果一个新事件在该 时间发生的概率较低,则该事件可能是入侵,cpu使用。
响应:
来自内核的安全警告,当有人违反规则时, LIDS会在 控制台显示警告信息,将非法的活动细节记录到受 LIDS保护的系统log文件中。 LIDS还可以将log信息发 到你的信箱中。LIDS还可以马上关闭与用户的会话。
Company Logo
基于网络的入侵检测系统
数据源是网络上的数据包 根据网络的拓扑结构的不同,入侵 检测系统的监听端口可以接在共享 媒质的集线器或交换机的镜像端口 (SpanPort)上、或专为监听所增 设的分接器(Tap)上。 是一个典型的sniffer 设备 内置的入侵知识库
三、入侵检测系统的组成
事件产生器
事件分析器
响应单元
事件数据库
Company Logo
模式匹配(特征库匹配举例)
1.来自保留IP地址的连接企图 2.带有非法TCP 标志联合物的数据包
可通过对比TCP报头中的标志集与已知正确和错误标记联合物的 不同点来识别。
3.含有特殊病毒信息的Email
Company Logo
常用的入侵检测5种统计模型为:
操作模型:
该模型假设异常可通过测量结果与一些固定指标相比较得到,固 定指标可以根据经验值或一段时间内的统计平均得到,举例来说, 在短时间内的多次失败的登录很有可能是口令尝试攻击。
方差:
计算参数的方差,设定其置信区间,当测量值超过置信区间的范 围时表明有可能是异常。
是以可用性作为攻击目标,它毁坏系统资源,使网络不可用。如 Dos拒绝服务,synflood、 arp欺骗、land attack、死亡之PING、
截获
是以保密性作为攻击目标,非授权用户通过某种手段获得对系统 资源的访问。 如sniffer,IDS本身就是一个Sniffer
修改
是以完整性作为攻击目标,非授权用户不仅获得访问而且对数据 进行修改。 如Tcp会话劫持
网络监测:
即在数据包真正抵达主机之前对试图进入主机的数据 包进行监测,以避免其进入系统后可能造成的损害。 这点与基于网络的ID不同,因为它仅仅对已经抵达主 机的数据进行监测,而后者则是对网络上的流量进行 监控。如次一来就不需要把网卡设置成混杂模式了。
主机监测:
任何入侵企图都会在监测文件、文件系统、登录记录 或其他主机上的文件中留下痕迹,系统管理员们可以 从这些文件中找到相关痕迹。因此可以通过监测文件 系统的变化来发现入侵。一旦系统被攻陷,入侵者就 会立即开始更改系统的文件,或者更改一些设置以废 掉IDS的功能。
Company Logo
一个基于主机的入侵检测系统 LIDS
文件保护:
保护硬盘上任何类型的重要文件和目录,如/bin、 /sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其 下的文件,以及系统中的敏感文件,如passwd和 shadow文件,
检测:
LIDS能检测到扫描并报告系统管理员。 LIDS还可以检 测到系统上任何违反规则的进程。
缓冲区溢出
Company Logo
缓冲区溢出
Company Logo
网络安全与IDS
网络安全概述
入侵检测系统IDS
IDS的未来
Company Logo
网络安全
IDS (入侵检测系统)
一. IDS简介 二. IDS的分
类及布曙
四. IDS工作
流程
三. IDS系统
组成
Company Logo
一、什么是IDS
网络协议因素
地域因素
用户因素
主机因素
Company Logo
如何保证网络信息安全 加密技术
对称加密 非对称加密
认证技术
数字签名 数字证书
使用网络安全设备
防火墙 IDS IPS
Company Logo
常见入侵
主要有四种攻击方式中断、截获、修改和伪造。 中断
基本指令:
若你想要在屏幕上显示网络数据包的报头(header)内容,使用 ./snort -v 如果想要在屏幕上显示正在传输的数据包的报头内容,使用 ./snort -vd 如果除了以上显示的内容之外,欲另外显示数据链路层信息,使用 ./snort -vde
Company Logo
基于行为的入侵检测系统 基于模型推理的入侵检测系统
按照检测时间分为:
实时入侵检测系统 事后入侵检测系统
Company Logo
基于主机的入侵检测系统
以系统日志、应 用程序日志等作 为数据源 主机型入侵检测 系统保护的一般 是所在的系统
Company Logo
基于主机的入侵检测系统
Company Logo
Internet
IDS 2 子网 A IDS 3
交换机 子网 B
IDS 1
IDS 4
带主机IDS感应 器的服务器 服务器
Company Logo
二. IDS的分类及布曙 根据检测对象的不同:
基于主机的入侵检测系统 基于网络入侵检测 分布式的入侵检测系统
按照其采用的方法:
Company Logo
完整性分析
完整性分析主要关注某个文件或对象是否被更改
如:文件和目录的内容及属性,它在发现被更改的、 被特洛伊化的应用程序方面特别有效。完整性分析利 用强有力的加密机制,称为消息摘要函数 (例如MDS), 它能识别哪怕是微小的变化。
只要是成功的攻击导致了文件或其他对象的任何 改变,它都能够发现。 缺点是一般以批处理方式实现,不用于实时响应。
网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门 可能已建 造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实 现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放 性要求。 在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生 存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。 这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很 快传遍整个网络。 由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个 专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造 成信息在传输过程中的损坏和丢失,也给一些”黑客”造成可乘之机。 企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必 将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁, 因为这里可能就有商业间谍或“黑客” 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至 小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现 漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。
例如,统计分析可能标识一个不正常行为,因为它发 现一个在晚八点至早六点不登录的账户却在凌晨两点 试图登录。其优点是可检测到未知的入侵和更为复杂 的人侵,缺点是误报、漏报率高,且不适应用户正常 行为的突然改变。具体的统计分析方法如基于专家系 统的、基于模型推理的和基于神经网络的分析方法, 目前正处于研究热点和迅速发展之中。