计算机三级网络技术7网络管理与网络安全.ppt
- 文档编号:18701322
- 上传时间:2023-10-04
- 格式:PPT
- 页数:87
- 大小:570KB
计算机三级网络技术7网络管理与网络安全.ppt
《计算机三级网络技术7网络管理与网络安全.ppt》由会员分享,可在线阅读,更多相关《计算机三级网络技术7网络管理与网络安全.ppt(87页珍藏版)》请在冰点文库上搜索。
第7章,网络管理与网络安全,7.1网络管理,3,7.1.1网络管理的基本概念,1网络管理的定义网络管理是指对网络运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。
任务就是通过监测可以了解网络状态是否正常,是否存在瓶颈和潜在危机;通过控制可以对网络状态进行合理调节,从而提高效率,保证服务。
3,4,7.1.1网络管理的基本概念(续),2网络管理对象硬件资源包括物理介质(如网卡、双绞线)、计算机设备(如打印机、存储设备等)和网络互联设备(如网桥、路由器等)软件资源主要包括操作系统、应用软件和通信软件等。
3网络管理的目标满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。
4,5,7.1.2网络管理的功能,包括5大功能域:
配置管理故障管理性能管理计费管理安全管理,5,6,1配置管理,功能:
用于辨别、定义、控制和监视通信网络对象负责网络的建设、业务的展开及配置数据的维护目的:
实现某个特定功能或是使网络性能达到最优包括资源清单管理、资源开通以及业务开通,6,7,2故障管理,任务是发现和排除故障主要功能包括维护并监测错误日志接收错误监测报告并作出响应跟踪辨认错误执行诊断测试和纠正错误内容包括障碍管理故障恢复预防保障,7,8,3性能管理,包括性能监测、性能分析以及性能管理控制等功能目的是维护网络服务质量和网络运行效率。
性能管理的一些典型功能包括:
收集统计信息维护并检查系统状态日志确定自然和人工状态下系统的性能改变系统的操作模式,8,9,4计费管理,主要目的:
记录网络资源的使用,控制和监测网络操作的费用和代价。
主要作用:
能够测量和报告基于个人或团体用户的计费信息,分配资源并计算传输数据的费用,然后给用户开出账单主要功能计算网络建设及运营成本统计网络及其所包含的资源利用率联机收集计费数据计算用户应支付的网络服务费用和帐单管理,9,10,5安全管理,目标:
提供信息的隐隐蔽、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏主要内容:
对授权机制、访问控制、加密和解密关键字的管理主要功能:
风险分析功能安全服务功能告警功能日志功能和报告功能网络管理系统保护功能,10,11,7.1.3网络管理模型,网络管理的基本模型网络管理者:
运行在计算机操作系统之上的一组应用程序,负责从各代理处收集管理信息,进行处理,获取有价值的管理信息,达到管理的目的。
代理:
位于被管理的设备内部,是被管对象上的管理程序。
管理者和代理之间的信息交换方式:
从管理者到代理的管理操作从代理到管理者的事件通知,11,12,网络管理模式,集中式管理是所有的网管代理在管理站的监视和控制下协同工作而实现集成的网络管理。
在该模式中,至少有一个结点担当管理站的角色,其他结点在网管代理模块的控制下与管理站通信。
分布式管理两种模式将数据采集、监视以及管理分散开来,它可以从网络上的所有数据源采集数据而不必考虑网络拓扑结构。
12,13,7.1.4网络管理协议,网络管理协议的发展国际标准化组织ISO:
CMIS和CMIPInternet工程任务组IETF:
SNMP协议(简单网络管理协议),也称SNMPV1。
近年来SNMP已经超越了传统的TCP/IP环境,成为网络管理方面事实上的标准。
在1992年IETF开始了SNMPV2的开发工作,提高了协议的安全性。
1997年,IETF成立了SNMPV3工作组,其重点是安全、可管理的体系结构和远程配置。
13,14,SNMP协议(续),SNMP是最常用的计算机网络管理协议,可用于管理目前市场上大多数的组网设备。
SNMP位于ISOOSI参考模型的应用层,它遵循ISO的管理者-代理网络管理模型。
SNMP的体系结构主要由SNMP管理者、SNMP代理者两个部分组成。
每一个支持SNMP的网络设备中都包含一个代理,代理随时记录网络设备的各种信息;网络管理程序再通过SNMP通信协议收集代理所记录的信息。
从被管理设备中收集数据有轮询和基于中断两种方法。
14,15,SNMP协议(续),轮询方法的基本过程是:
代理软件不断收集统计数据,并把这些数据记录到一个管理信息库(MIB)中;网络管理员通过向代理的MIB发出查询信号可以得到这些信息。
这种方法的缺点在于信息的实时性,尤其是处理错误的实时性,管理员必须不断地轮询SNMP代理,以全面地查看一天的通信流量和变化率。
当有异常事件发生时,相对于轮询方法,基于中断的方法可以立即通知管理工作站,实时性很强。
这种方式的缺点是自陷必须转发大量信息,要消耗管理设备更多资源和时间。
将以上两种方法结合的陷入制导轮询法可能是执行网络管理的最有效的方法。
15,16,CMIP协议,采用了报告机制具有即时性的特点所有功能要通过应用层的相关协议来实现建立了安全管理机制提供授权、访问机制、安全日志等功能CMIP协议比较复杂,实施起来花费较高,16,7.2信息安全技术概述,18,7.2.1信息安全的概念,指信息网络的硬件、软件以及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断要实现的目标。
真实性保密性完整性可用性不可抵赖性可控制性可审查性,18,19,7.2.2信息安全策略,信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。
信息安全的实现要靠先进的技术、严格的安全管理、法律约束与安全教育。
19,20,7.2.3信息技术的安全性等级,网络安全性标准(DoD5200.28_STD),即可信任计算机标准评估准则。
该标准将网络安全性等级划分为A、B、C、D共四类,其中A类安全等级最高,D类安全等级最低。
这4类安全等级还可以细化为7个级别,这些级别的安全性从低到高的顺序是D1、C1、C2、B1、B2、B3和A1。
20,21,7.2.3信息技术的安全性等级(续),在我国,以计算机信息系统安全保护等级划分原则(GB17859-1999)为指导,将信息和信息系统的安全保护分为5个等级。
自主保护级指导保护级监督保护级强制保护级专控保护级,21,7.3网络安全问题与安全策略,23,7.3.1网络安全的基本概念,保护网络程序、数据或设备,使其免受非授权使用或访问保护内容包括:
保护信息和资源、保护客户机和用户、保证私有性。
目标是确保网络系统的信息安全,主要包括信息的存储安全和信息的传输安全信息的存储安全一般通过设置访问权限、身份识别、局部隔离等措施来保证。
信息的传输安全主要是指信息在动态传输过程中的安全,主要涉及到对网络上信息的监听、对用户身份的假冒、对网上信息的篡改、对信息进行重放等问题。
网络安全措施社会的法律政策、企业的规章制度以及网络安全教育。
技术方面的措施。
审计与管理措施。
23,24,7.3.2OSI安全框架,OSI安全框架是由国际电信联盟推荐的X.800方案,它主要关注3部分:
安全攻击在X.800中将安全攻击分为被动攻击和主动攻击两类从网络高层的角度划分,攻击方法可以分为服务攻击和非服务攻击两大类。
安全机制X.800将安全机制分为特定安全机制和普遍的安全机制两大类。
安全服务X.800将安全服务定义为通信开放系统协议层提供的服务,从而保证系统或数据传输有足够的安全性。
24,25,被动攻击和主动攻击,被动攻击对信息的保密性进行攻击,即通过窃听网络上传输的信息并加以分析从而获得有价值的情报,但它并不修改信息的内容目标是获得正在传送的信息,其特点是偷听或监视信息的传递被动攻击主要手段:
信息内容泄露:
信息在通信过程中因被监视窃听而泄露,或者信息从电子或机电设备所发出的无线电磁波中被提取出来而泄露。
通信量分析:
通过确定通信位置和通信主机的身份,观察交换消息的频度和长度,并利用这些信息来猜测正在进行的通信特性。
25,26,被动攻击和主动攻击,主动攻击攻击信息来源的真实性、信息传输的完整性和系统服务的可用性有意对信息进行修改、插入和删除主动攻击主要手段:
假冒:
一个实体假装成另一个实体。
假冒攻击通常包括一种其他形式的主动攻击。
重放:
涉及被动捕获数据单元及其后来的重新传送,以产生未经授权的效果。
修改消息:
改变了真实消息的部分内容,或将消息延迟或重新排序,导致未授权的操作。
拒绝服务:
禁止通信实体的正常使用或管理。
26,27,服务攻击和非服务攻击,服务攻击针对某种特定网络服务的攻击例如:
针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击原因:
TCP/IP协议缺乏认证、保密措施。
非服务攻击不针对某项具体应用服务,而是基于网络层等低层协议而进行原因:
TCP/IP协议(尤其是IPv4)自身的安全机制不足,27,28,7.3.3网络安全模型,网络安全模型1,网络安全模型2,28,7.4加密技术,30,7.4.1密码学基本术语,明文:
原始的消息。
密文:
加密后的消息。
加密:
从明文到密文的变换过程。
解密:
从密文到明文的变换过程。
密码编辑学:
研究各种加密方案的学科。
密码分析学:
研究破译密码获得消息的学科。
密码学:
密码编码学和密码分析学统称为密码学。
30,31,密码编码学,密码编码学系统具有以下3个独立特征转换明文为密文的运算类型所有的加密算法都基于代换和置换两个原理。
所用的密钥数如果发送法和接收方使用相同的密钥,这种密码就称为对称密码、单密钥密码或传统密码;如果收发双方使用不同的密钥,这种密码就称为非对称密码、双钥密码或公钥密码。
处理明文的方法加密算法可以分为分组密码和流密码。
分组密码每次处理一个输入分组,相应地输出一个输出分组;而流密码则是连续地处理输入元素,每次输出一个元素。
31,32,密码分析学,密码分析学依赖于算法的性质和明文的一般特征或某些明密文对穷举攻击需要对一条密文尝试所有可能的密钥,直到把它转化为可读的有意义的明文。
基于密码分析者知道的信息类型,密码攻击的类型主要有:
惟密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、和选择文本攻击。
32,33,加密算法的安全性,若一个加密算法能满足以下两个条件之一就认为该算法是在计算上是安全的:
一是破译的代价超出加密信息本身的价值二是破译的时间超出了信息的有效期,33,34,代换与置换技术,代换法是将明文字母替换成其他字符、数字或符号的方法。
典型的算法包括Caesar密码、单表代换密码、playfair密码、Hill密码、多表代换密码以及一次一密等。
置换密码的加密方法是通过置换而形成新的排列。
如栅栏技术,按照对角线的顺序写入明文,而按行的顺序读出作为密文。
34,35,7.4.2对称加密技术,对称加密的模型对称加密模型由5个组成部分:
明文、加密算法、密钥、密文和解密算法。
35,36,数据加密标准,数据加密标准DESDES数据加密标准DES是一种分组密码在加密前,先对整个明文进行分组。
每一个组长为64位。
然后对每个64位二进制数据进行加密处理,产生一组64位密文数据使用的密钥为64位,实际密钥长度为56位,有8位用于奇偶校验。
36,37,DES加密的过程为:
64位的明文经过初始置换而被重新排列。
进行16轮的相同函数的作用,每轮的作用中都有置换和代换,最后一轮迭代的输出有64位,将其左半部分和右半部分互换产生预输出,预输出再被与初始置换互逆的逆初始置换作用产生64位的密文。
37,38,其他常用的对称加密算法,目前经常使用的对称加密算法还有:
三重DES、高级加密标准(AES)、Blowfish算法和RC5算法。
三重DES:
使用多个密钥对DES进行三次加密,克服了DES不能抵御穷举攻击的弱点,但该算法用软件实现起来速度比较慢。
高级加密标准(AES):
2001年NIST将Rijndael作为AES算法,它的密钥长度为128、192或256位,分组长度为128位。
AES性能不低于3DES,同时具有良好的执行性能。
38,39,Blowfish算法该算法由BruceSchneier设计的,是一个可变密钥长度的分组密码算法,分组长度为64位。
算法由密钥扩展和数据加密两部分组成,密钥扩展把长度可达448位的密钥转变成总共4168字节的几个子密钥;数据加密由一个简单函数迭代16轮,每一轮由密钥相关的置换、密钥相关和数据相关的代换组成。
RC5RC5的分组长度和密钥长度都是可变的可以在速度和安全性之间进行折中,39,40,7.4.3公钥加密,公钥密码体制公钥算法依赖于一个加密密钥和一个与之相关的解密密钥。
公钥加密体制有6个组成部分:
明文、加密算法、公钥、私钥、密文和解密算法。
40,41,7.4.3公钥加密(续),公钥加密的步骤如下:
每个用户都生成一对加密和解密时使用的密钥。
每个用户都把他的公钥放在一个公共地方,私钥自己妥善保管。
发送用户要向接收用户发送机密消息,就用接收用户的公钥加密消息。
当接收用户收到消息时,可以用自己的私钥进行解密。
41,42,公钥密码体制的应用,公钥密码体制的应用可分为以下3种:
加密/解密。
数字签名。
发送方利用其私钥对消息“签名”。
密钥交换,42,43,RSA算法,RSA算法是1978年由Rivest、Shamir和Adleman三个人提出的,被认为是迄今为止理论上最为成熟完善的一种公钥密码体制。
该体制的构造基于Euler定理,它利用了如下的基本事实:
寻找大素数是相对容易的,而分解两个大素数的积在计算上是不可行的。
RSA算法的安全性建立在难以对大数提取因子的基础上。
与DES相比,缺点是加密、解密的速度太慢。
43,44,RSA是一种分组密码,其明文和密文均是0至n-1之间的整数(n的大小为1024位二进制数或309位十进制数)。
明文以分组为单位进行加密,每个分组的二进制值均小于n。
密钥的选取过程如下:
选取两个大质数p和q。
计算n=pq,z=(p-t)(q-1)。
选择小于n的整数e,并且和z没有公约数。
找到数d,满足ed-1被z整除。
公钥是数对(n,e),私钥是数对(n,d)。
44,45,其他的公钥加密算法,Elgamal公钥体制基于离散对数的公钥密码体制密文不仅信赖于待加密的明文,而且信赖于用户选择的随机参数,即使加密相同的明文,得到的密文也是不同的。
加密算法的非确定性背包公钥体制基本原理:
背包问题,45,46,7.4.4密钥管理,密钥的分发密钥分发中心(KDC)是一个独立的可信网络实体,是一个服务器,它同每个注册用户共享不同的秘密对称密钥。
KDC知道每个用户的秘密密钥,每个用户可以通过这个秘密密钥同KDC进行安全通信,46,47,密钥的验证,认证中心(CA)用于验证一个公共密钥是否属于一个特殊实体(一个个人或者网络实体)。
一旦一个公共密钥被认证了,那么它就可以从任何地方发出,包括一个公共密钥服务器、一个个人网页或者一张磁盘。
CA的主要作用有两个方面。
一是验证实体的身份;二是产生一个证书,将这个公共密钥和身份进行绑定,这个证书由CA进行数字签名。
证书中包括公共密钥和关于公共密钥所有者的全球唯一的标识信息。
47,7.5认证技术,49,7.5.1消息认证,1消息认证的概念消息认证就是使意定的接收者能够检验收到的消息是否真实的方法,又称为完整性校验,它在银行业称为消息认证,在OSI安全模型中称为封装。
消息认证的内容应包括:
证实消息的信源和信宿;消息内容是否曾经受到偶然或有意地篡改;消息的序号和时间性是否正确。
2消息认证的方法认证信息的来源认证信息的完整性认证信息的序号和时间,49,50,3.消息认证的模式消息认证的模式有单向认证和双向认证。
在单向认证中,由接收者验证发送者的身份和发送消息的完整性;在双向认证中,接收双方互相确定对方的身份和发送消息的完整性。
4.认证函数可用做认证的函数有信息加密函数、信息认证码和散列函数3种。
50,51,7.5.2数字签名,数字签名的需求签名必须依赖于要签名报文的比特模式签名必须使用对发送者来说是唯一的信息,以防伪造和抵赖。
数字签名的产生必须相对简单。
数字签名的识别和证实必须相对简单。
伪造数字签名具有很高的计算复杂行。
保留一个数字签名的备份在存储上现实可行的。
51,52,数字签名的创建,利用公钥密码体制,数字签名是一个加密的消息摘要,附加在消息后面。
如果A想在发给B的消息中创建一个数字签名,操作过程如下:
A创建一个公钥/私钥对,并将公钥给接收方B。
A把消息作为一个单项散列函数的输入,散列函数的输出就是消息摘要。
A用私钥加密信息摘要,就得到数字签名。
52,53,数字签名的验证,在接收方,B需要遵循以下步骤来验证A的数字签名。
B把收到的数据分离成消息和数字签名。
B使用A的公钥对数字签名解密,从而得到消息摘要。
B把消息作为A所使用的相同散列函数的输入,得到一个消息摘要。
B比较这两个信息摘要,看它们是否相互匹配。
53,54,7.5.3身份认证,身份认证又称身份识别,它是通信和数据系统中正确识别通信用户或终端身份的重要途径。
身份认证的常用方法有口令认证持证认证生物识别,54,55,1口令机制,口令是由数字、字母组成的长为58的字符串,有时也包括特殊字符和控制字符等。
常用于操作系统登录、Telnet和rlogin等口令系统最严重的脆弱点是外部泄露和口令猜测,另外还有线路窃听、威胁验证者和重放等。
保护口令措施:
对用户和系统管理者进行教育,增强他们的安全意识;建立严格的组织管理办法和执行手续;确保口令必须被定期地改变;保证每个口令只与一个人有关;确保口令从来不被再现在终端上;使用易记的口令。
55,56,1口令机制,被猜测措施:
限制非法认证的次数;实时延迟插入到口令验证过程阻止一个计算机自动口令猜测程序的生产串防止太短的口令以及与用户名账户名或用户特征相关的口令确保口令被定期地改变;取消安装系统时所用的预设口令;使用机器产生的而不是用户选择的口令。
56,57,2持证认证持证为个人持有物,如磁卡、智能卡等磁卡常和个人标识号PIN一起使用智能卡将微处理器芯片嵌在宿卡上来代替无源存储磁条,存储信息远远大于磁条的250字节,且具有处理功能,卡上的处理器有4K字节的小容量EPROM3生物识别生物识别依据人类自身所固有的生理或行为特性特征,包括指纹识别、虹膜识别、脸像识别、掌纹识别、声音识别、签名识别、笔迹识别、手形识别、步态识别以及多种生物特征融合识别等。
57,58,7.5.4常用的身份认证协议,一个安全的身份识别协议至少应满足以下两个条件:
识别者A能向验证者B证明他的确是A。
在识别者A向验证者提供了证明他的身份信息后,验证者B不能取得A的任何有用的信息。
目前满足上述条件的协议主要有:
一次一密机制X.509认证协议Kerberos认证协议,58,59,一次一密机制请求应答机制:
用户登录时,系统随即提示一条信息,用户根据信息产生一个口令,完成一次登录。
询问应答方式:
验证者提出问题,由识别者回答,然后由验证者验证其真伪。
X.509认证协议X.509定义了一种通过X.500目录提供认证服务的框架。
X.500是对分布式网络中存储用户信息的数据库所提供的目录检索服务的协议标准,而X.509是利用公钥加密技术对X.500的服务所提供认证服务的协议标准。
Kerberos认证协议Kerberos基于对称密钥体制,一般采用DES,它与网络上的每个实体共享一个不同的密钥,通过是否知道秘密密钥来验证身份。
59,7.6安全技术应用,61,7.6.1安全电子邮件,1PGPPGP是PhilZimmermann在1991年提出的一个安全电子邮件加密方案,它已经成为事实上的标准。
PGP的操作由5种服务组成:
鉴别、机密性、压缩、电子邮件的兼容性和分段。
PGP利用了4种类型的密钥:
一次性会话的常规密钥、公开密钥、私有密钥和基于口令短语的常规密钥。
当PGP安装之后,为用户产生一个公共密钥对,这个密钥可以公布在用户的个人网站或者放在公共密钥服务器上。
私密密钥用密码进行保护,每次用户访问这个密钥的时候必须输入密码。
61,62,7.6.1安全电子邮件(续),2S/MIMES/MIME的功能如下:
加密的数据。
对于一个或多个接收者而言,它是由任意类型的加密内容和加密内容的加密密钥组成的。
签名的数据。
通过取得要签名的内容的报文摘要,然后使用签名者的私钥对该摘要进行加密,形成数字签名。
透明签名的数据。
签名的数据形成了内容的数字签名。
签名并且加密的数据。
只签名和只加密的实体可以递归使用,因此加密的数据可以被签名,签名或透明的签名数据可以被加密。
62,63,7.6.2网络层安全IPSec,IP安全协议(简称为IPSec)是在网络层提供安全的一组协议。
在IPSec协议族中,有两个主要的协议:
身份认证头(AH)协议和封装安全负载(ESP)协议。
AH协议提供了源身份认证和数据完整性,但是没有提供秘密性ESP协议提供了数据完整性、身份认证和秘密性。
对于AH和ESP协议,源主机在向目的主机发送安全数据报之前,源主机和网络主机进行握手,并建立网络层逻辑连接,这个逻辑连接称为安全协定(SA)。
SA唯一定义为一个三元组,包括安全协议标识符、单工连接的源IP地址和称为安全参数索引的32位连接标识符。
63,64,AH协议在发送数据报时,AH头在原有IP数据报数据和IP头之间。
这样,AH头增加了原有数据字段,被封装为标准的IP数据报。
在IP头的协议字段,值51用来表明数据报包含AH头。
当目的主机接收到带有AH头的IP数据报后,它确定数据报的SA,通过处理身份验证数据段来验证数据报的完整性。
ESP协议采用ESP协议,源主机可以向目的主机发送安全数据报。
安全数据报是用头部、尾部字段来封装原来的IP数据报,然后将封装后的数据插入到IP数据报的数据字段。
对于IP数据报头的协议字段,值50用来表示数据报包含ESP头和ESP尾。
64,65,7.6.3Web安全,Web所面临的威胁Web服务器安全威胁Web浏览器安全威胁及浏览器与服务器之间的网络通信量安全威胁,65,66,Web流量安全性方面,Web流量安全性方法可以分为网络级、传输级、应用级。
网络级。
提供Web安全性的一种方法是使用IPSec协议。
IPSec具有过滤功能,以便仅用IPSec处理所选的流量。
传输级。
提供Web安全性的另一个相对通用的解决方法是在TCP上实现安全性。
这种方法的例子有安全套接层(SSL)和运输层安全(TLS)的InternetSSL标准。
应用级。
与应用有关的安全服务被嵌入到特定的应用程序中,这种方法的一个重要的例子是安全的电子交易(SET)。
66,7.7入侵检测技术与防火墙,68,7.7.1入侵者,入侵者通常是指黑客和解密高手。
入侵者大致分为3类。
假冒者:
指未经授权使用计算机的人和穿透系统的存取控制冒用合法账号的人。
非法者:
指未经授权访问数据、程序和资源的合法用户;或者已经获得授权访问,但是错误使用权限的合法用户。
秘密用户:
夺取系统超级控制并使用这种控制权逃避审计和访问控制或者抑制审计记录的个人。
68,69,7.7.2入侵检测技术,入侵检测技术可以分为统计异常检测和基于规则的检测。
统计异常检测:
收集一段时间内合法用户的行为,然后用统计测试来观测其行为,判定该行为是否是合法用户的行为。
基于规则的检测:
包括尝试定义用于确定给定行为是否是入侵者行为的规则集合。
69,70,审计记录,入侵检测的一个基础工具是审计记录。
用户活动的记录应作为入侵检测系统的输入,记录的获得有两种方法。
原有的审计记录:
几乎所有的多用户操作系统都有收集用户行为的审计软件,通过这种方法获得的审计记录可能没有包含需要的信息。
专门用于检测的审计记录:
可以实现一个收集机制来生成只包含入侵检测系统所需信息的审计记录。
70,71,统计异常检测,统计异常检测分为两大类:
阈值检测和基于轮廓的检测。
阈值检测与在一个时间区间内对专门的事件类型的出现次数有关。
如果次数超出了被认为是合理的数值,那么就假定出现了入侵。
阈值分析本身效率不高,并且阈值和时间区间必须是提前选定的。
基于轮廓的异常检测集中于刻画单独用户或相关用户组的过去行为特性,然后检测出明显的偏差。
这种方法的基础在于对审计记录的分析,入侵检测模型会分析进入的审计记录以确定与平均行为的偏差。
可用于基于轮廓的入侵检测的度量机制有计数器、标准值、间隔定时器
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 三级 网络技术 网络 管理 网络安全
![提示](https://static.bingdoc.com/images/bang_tan.gif)