異常檢測
異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計演演算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
目錄
1、異常檢測是指通過攻擊行為的特徵庫,採用特徵匹配的方法確定攻擊事件。誤用檢測的優點是檢測的誤報率低,檢測快,但誤用檢測通常不能發現攻擊特徵庫中沒有事先指定的攻擊行為,所以無法檢測層出不窮的新攻擊
2、異常檢測是指根據非正常行為(系統或用戶)和使用計算機非正常資源來檢測入侵行為。其關鍵在於建立用戶及系統正常行為輪廓(Profile),檢測實際活動以判斷是否背離正常輪廓
3、異常檢測是指將用戶正常的習慣行為特徵存儲在資料庫中,然後將用戶當前的行為特徵與特徵資料庫中的特徵進行比較,如果兩者的偏差足夠大,則說明發生了異常
4、異常檢測是指利用定量的方式來描述可接受的行為特徵,以區分和正常行為相違背的、非正常的行為特徵來檢測入侵
5、基於行為的入侵檢測方法,通過將過去觀察到的正常行為與受到攻擊時的行為相比較,根據使用者的異常行為或資源的異常使用狀況來判斷是否發生入侵活動,所以也被稱為異常檢測
6、統計分析亦稱為異常檢測,即按統計規律進行入侵檢測。統計分析先對審計數據進行分析,若發現其行為違背了系統預計,則被認為是濫用行為
7、統計分析亦稱為異常檢測。通過將正常的網路的流量。網路延時以及不同應用的網路特性(如時段性)統計分析後作為參照值,若收集到的信息在參照值範圍之外,則認為有入侵行為
8、異常檢測(Anomaly-based detection)方法首先定義一組系統處於“正常”情況時的數據,如CPU利用率、內存利用率、文件校驗和等然後進行分析確定是否出現異常。