(一)基于异常的入侵检测
(1)定义:通过计算机或网络资源统计分析,建立系统正常行为“轨迹”,定义一组系统正常情况数值。将系统运行时数值与所定义“正常”情况比较,得出是否有被攻击的迹象。
(2)原理:构造异常行为集合,发现入侵行为
(3)异常模型:异常检测依赖于异常模型,不同模型构成不同检测方法。
(4)检测前提:异常行为包括入侵行为
(二)入侵行为集合≠异常行为集合
是否入侵行为 | 表现 | |
行为 | 是 | 正常 |
不是 | 异常 | |
不是 | 正常 | |
是 | 异常 |
(三)异常检测方法
检测方法 | 说明 | |
1 | 基于统计 | 数据统计处理,与用户或系统正常统计特征轮廓(主体特征变量频度、均值、方差、被监控行为属性变量统计概率分布及偏差等统计量)比较,判断二者偏差是否超过指定门限 典型主体特征:系统登录与注销时间,资源被占用时间及处理机、内存和外设使用情况等 抽样周期:从几分钟到几个月甚至更长 应用:多数入侵检测系统或系统原型 |
2 | 基于模式预测 | 前提:事件序列服从某种可辨别模式,不是随机发生的 特点:考虑了事件序列之间的相互联系 基于时间推理方法,利用时间规则识别用户异常行为模式特征。通过归纳学习产生规则集,并能动态修改系统规则,使之具有较高预测性、准确性和可信度 优点: ①能较好处理变化多样的用户行为,具有很强的时序模式; ②能够集中考察少数相关安全事件,而非关注可疑整个登录会话过程 ③容易发现针对检测系统的攻击 |
3 | 基于文本分类 | 将程序系统调用视为某文档中的“字”,进程运行所产生的系统调用集合就产生一个“文档”。对于每个进程所产生“文档”,利用K-最近邻聚类(K-Nearest Neighbor)文本分类算法,分析文档相似性,发现异常系统调用 |
4 | 基于贝叶斯推理 | 在任意给定时刻,测量A1、A2,…An变量值(系统某方面特征,如磁盘活动数量、系统中页面出错数),推理判断系统是否发生入侵行为 根据异常测量值、入侵先验概率、入侵发生时每种测量得到的异常概率,判断系统入侵概率 |