其他检测方法 | 说明 | 备注 | |
1 | 基于规范(specification-based intrusion detection) | 介于异常检测和误用检测之间 用一种策略描述语言PE-grammars事先定义系统特权程序有关安全操作执行序列,构成安全跟踪策略(trace policy)。若特权程序操作序列不符合己定义序列,就发出入侵报警 | 优点:不仅能发现己知攻击,也能发现未知攻击 |
2 | 基于生物免疫 | 综合异常检测和误用检测两种方法 指模仿生物有机体免疫系统工作机制,使受保护系统能够将“非自我(non-self)”攻击行为与“自我( self)”合法行为区分开 | 关键技术:在于构造系统“自我”标志以及标志演变方法 |
3 | 基于攻击诱骗 | 将虚假系统或漏洞信息提供给入侵者,如果入侵者据此发起攻击,就能推断系统正遭受入侵 安全管理员还可以诱惑入侵者,进一步跟踪攻击来源 | |
4 | 基于入侵报警 | 对原始IDS报警事件分类及相关性分析来发现复杂攻击行为 ①基于报警数据相似性进行报警关联分析 ②通过人为设置参数或通过机器学习方法进行报警关联分析 ③根据某种攻击前提条件与结果( preconditions and consequences)进行报警关联分析 | 作用:有助于在大量报警数据中挖掘潜在关联安全事件,消除冗余安全事件,找出报警事件相关度及关联关系,提高入侵判定准确性 |
5 | 基于沙箱动态分析 | 构建程序运行安全沙箱,监测可疑恶意文件或程序在安全沙箱中运行状况,检测相关信息是否异常 | |
6 | 基于大数据分析 | 通过汇聚系统口志、IDS报警日志、防火墙日志、网络威胁情报、全网流量等多种数据资源,形成网络安全大数据资源池,利用人工智能技术,进行机器学习,发现入侵行为 | 常见技术:数据挖掘、深度学习、数据关联、数据可视化分析等 |