入侵检测系统开发教程,入侵检测系统开发教程pdf

摘要： 大家好，今天小编关注到一个比较有意思的话题，就是关于入侵检测系统开发教程的问题，于是小编就整理了3个相关介绍入侵检测系统开发教程的解答，让我们一起看看吧。入侵检测系统主要由哪些模块...

大家好，今天小编关注到一个比较有意思的话题，就是关于入侵检测系统开发教程的问题，于是小编就整理了3个相关介绍入侵检测系统开发教程的解答，让我们一起看看吧。

1. 入侵检测系统主要由哪些模块组成？
2. 评价入侵检测系统准确性的指标有
3. 入侵检测主要有哪三种方式？

入侵检测系统主要由哪些模块组成？

计算机网络入侵检测系统包括系统异常检测、系统分析监测、系统响应检测、主动扫描检测四个重要组成部分，通过多方位、多元化的检测有效的对计算机网络安全加以防护，保障用户的信息安全。

系统异常检测

　　计算机网络入侵检测系统的异常检测主要作用就是针对网络的上行与下载的数据流量进行实时的监测与分析。网络的流量使用情况具有着突发性的特点，对于系统的异常检测也有着不稳定性的特点。通过对网络流量的使用情况进行分析，结合系统的使用强度之间存在的关系，对实际网络流量进行具体的分析。一旦在计算机系统的休眠时间，发生了异常的网络流量与数据传输，发出安全警报，对计算机的信息进行防护，从而实现了对系统异常的监测。

系统分析检测

　　计算机网络入侵检测系统的分析检测主要是对具体的模块以及系统网络协议进行解码。实现网络端口与具体的 IP 地址进行解码，通过解码进行转变，满足入侵检测的数据接口进行实时防护。加强对具体的网络协议端口的监测。分析检测通过对协议端口的分析以及网络协议的顺序进行逐级防护，对不同的协议端口的特点进行分析，实现不同特点防御与检测。

评价入侵检测系统准确性的指标有

Porras等的研究，给出了评价入侵检测系统（IDS）性能的三个因素：

·准确性（Accuracy）：指IDS从各种行为中正确地识别入侵的能力，当一个IDS的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标识为异常（虚警现象）。

·处理性能（Performance）：指一个IDS处理数据源数据的速度。显然，当IDS的处理性能较差时，它就不可能实现实时的IDS，并有可能成为整个系统的瓶颈，进而严重影响整个系统的性能。

·完备性（Completeness）：指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被IDS检测出来，那么该JDS就不具有检测完备性。也就是说，它把对系统的入侵活动当作正常行为（漏报现象）。由于在一般情况下，攻击类型、攻击手段的变化很快，我们很难得到关于攻击行为的所有知识，所以关于IDS的检测完备性的评估相对比较困难。

入侵检测主要有哪三种方式？

1）特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的***模式。当被审计的***与已知的入侵***模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。

2）统计检测

统计模型常用异常检测，在统计模型中常用的测量参数包括：审计***的数量、间隔时间、资源消耗情况等。

统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵***符合正常操作的统计规律，从而透过入侵检测系统。

3）专家系统

用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

到此，以上就是小编对于入侵检测系统开发教程的问题就介绍到这了，希望介绍关于入侵检测系统开发教程的3点解答对大家有用。