1.基于统计学方法的异常检测系统 这种系统使用统计学的方法来学习和检测用户 的行为。鉴于人工智能领域的发展缓慢,统计学方 法可以说是一种比较现实的方法,一个典型的系统 SRI International ENIDES (Next-generation Intrusion Detection Expert System) 2.预测模式生成法 使用该方法进行入侵检测的系统,利用动态的规 则集来检测入侵,这些规则是由系统的归纳引擎,根 据已发生的事件的情况来预测将来发生的事件的概率 来产生的,归纳引擎为每一种事件设置可能发生的概 率
1.基于统计学方法的异常检测系统 这种系统使用统计学的方法来学习和检测用户 的行为。鉴于人工智能领域的发展缓慢,统计学方 法可以说是一种比较现实的方法,一个典型的系统 SRI International的NIDES(Next-generation Intrusion Detection Expert System)。 2. 预测模式生成法 使用该方法进行入侵检测的系统,利用动态的规 则集来检测入侵,这些规则是由系统的归纳引擎,根 据已发生的事件的情况来预测将来发生的事件的概率 来产生的,归纳引擎为每一种事件设置可能发生的概 率
3.神经网络方法 利用神经网络检测入侵的基本思想是用一系列 信息单元(命令)训练神经单元,这样在给定一组 输入后,就可能预测出输出。与统计理论相比,神 经网络更好地表达了变量间的非线性关系,并且能 自动学习和更新。 4.基于数据挖掘技术的异常检测系统 数据挖掘,也称为知识发现技术。对象行为日志 信息的数据量通常都非常大,如何从大量的数据中 “浓缩”出一个值或一组值来表示对象行为的概貌, 并以此进行对象行为的异常分析和检测,就可以借用 数据挖掘的方法。其中有一种方式就是记录一定量的 格式化后的数据,来进行分析和入侵检测
3. 神经网络方法 利用神经网络检测入侵的基本思想是用一系列 信息单元(命令)训练神经单元,这样在给定一组 输入后,就可能预测出输出。与统计理论相比,神 经网络更好地表达了变量间的非线性关系,并且能 自动学习和更新。 4. 基于数据挖掘技术的异常检测系统 数据挖掘,也称为知识发现技术。对象行为日志 信息的数据量通常都非常大,如何从大量的数据中 “浓缩”出一个值或一组值来表示对象行为的概貌, 并以此进行对象行为的异常分析和检测,就可以借用 数据挖掘的方法。其中有一种方式就是记录一定量的 格式化后的数据,来进行分析和入侵检测
5.总结 理论上这种入侵检测方法具有一定入侵检测的能力 并且相对于基于误用的入侵检测有一个非常强的优势, 就是能够检测出未知的攻击;但在实际中,理论本身 也存在一定的缺陷,比如: 基于异常的入侵监测系统首先学习对象的正常行为, 并形成一个或一组值表示对象行为概貌,而表示概貌 的这些数据不容易进行正确性和准确性的验证 今通常比较长期行为的概貌和短期行为的概貌检测出 异常后,只能模糊地报告存在异常,不能准确地报告 攻击类型和方式,因此也不能有效地阻止入侵行为。 通常基于异常的入侵监测系统首先要有一个学习过 程,这个过程是否能够正确反映对象的正常行为?因 为这个过程很可能会被入侵者利用。 这些问题使大多数此类的系统仍然停留在研究领 域
5.总结 理论上这种入侵检测方法具有一定入侵检测的能力, 并且相对于基于误用的入侵检测有一个非常强的优势, 就是能够检测出未知的攻击;但在实际中,理论本身 也存在一定的缺陷,比如: ❖ 基于异常的入侵监测系统首先学习对象的正常行为, 并形成一个或一组值表示对象行为概貌,而表示概貌 的这些数据不容易进行正确性和准确性的验证。 ❖ 通常比较长期行为的概貌和短期行为的概貌检测出 异常后,只能模糊地报告存在异常,不能准确地报告 攻击类型和方式,因此也不能有效地阻止入侵行为。 ❖ 通常基于异常的入侵监测系统首先要有一个学习过 程,这个过程是否能够正确反映对象的正常行为?因 为这个过程很可能会被入侵者利用。 这些问题使大多数此类的系统仍然停留在研究领 域
422基于误用的入侵检测方法 在介绍基于误用( suse)的入侵检测的 概念之前,先看看误用( misuse)的含义,在 这里它指“可以用某种规则、方式或模型表示 的攻击或其它安全相关行为”。那么基于误用 的入侵检测技术的含义是:通过某种方式预先 定义入侵行为,然后监视系统的运行,并从中 找出符合预先定义规则的入侵行为
4.2.2 基于误用的入侵检测方法 在介绍基于误用(misuse)的入侵检测的 概念之前,先看看误用(misuse)的含义,在 这里它指“可以用某种规则、方式或模型表示 的攻击或其它安全相关行为”。那么基于误用 的入侵检测技术的含义是:通过某种方式预先 定义入侵行为,然后监视系统的运行,并从中 找出符合预先定义规则的入侵行为
1.专家系统 专家系统是基于知识的检测中早期运用较多的方法 将有关入侵的知识转化成 if-then结构的规则,即把构成入 侵所需要的条件转化为部分,把发现入侵后采取的相应 措施转化为then部分。当其中某个或某部分条件满足时, 系统就判断为入侵行为发生。其中的 if-then结构构成了描 述具体攻击的规则库,状态行为及其语义环境可根据审计 事件得到,推理机根据规则和行为完成判断工作。 2.模式匹配 基于模式匹配的入侵检测方式也像专家系统一样,也需 要知道攻击行为的具体知识。但是攻击方法的语义描述不 是被转化抽象的检测规则,而是将已知的入侵特征编码成 与审计记录相符合的模式,因而能够在审计记录中直接寻 找相匹配的已知入侵模式。这样就不像专家系统一样需要 处理大量数据,从而大大提高了检测效率
1.专家系统 专家系统是基于知识的检测中早期运用较多的方法。 将有关入侵的知识转化成if-then结构的规则,即把构成入 侵所需要的条件转化为if部分,把发现入侵后采取的相应 措施转化为then部分。当其中某个或某部分条件满足时, 系统就判断为入侵行为发生。其中的if-then结构构成了描 述具体攻击的规则库,状态行为及其语义环境可根据审计 事件得到,推理机根据规则和行为完成判断工作。 2.模式匹配 基于模式匹配的入侵检测方式也像专家系统一样,也需 要知道攻击行为的具体知识。但是攻击方法的语义描述不 是被转化抽象的检测规则,而是将已知的入侵特征编码成 与审计记录相符合的模式,因而能够在审计记录中直接寻 找相匹配的已知入侵模式。这样就不像专家系统一样需要 处理大量数据,从而大大提高了检测效率