@信仰
2年前 提问
1个回答

异常入侵检测系统常用检测方法有哪些

在下炳尚
2年前

异常入侵检测系统常用检测方法有以下这些:

  • 基于贝叶斯推理的检测法:是通过在任何给定的时刻,测量变量值,推理判断系统是否发生入侵事件。

  • 基于特征选择检测法:指从一组度量中挑选出能检测入侵的度量,用它来对入侵行为进行预测或分类。

  • 基于贝叶斯网络检测法:用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关的一个小的概率集来计算随机变量的联合概率分布。按给定全部节点组合,所有根节点的先验概率和非根节点概率构成这个集。

  • 基于模式预测的检测法:事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是考虑到了事件序列及相互联系,只关心少数相关安全事件是该检测法的最大优点。

  • 基于统计的异常检测法:是根据用户对象的活动为每个用户都建立一个特征轮廓表,通过对当前特征与以前已经建立的特征进行比较,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,其包含许多衡量指标,这些指标值要根据经验值或一段时间内的统计而得到。

  • 基于机器学习检测法:是根据离散数据临时序列学习获得网络、系统和个体的行为特征,并提出了一个实例学习法IBL。IBL基于相似度。该方法通过新的序列相似度计算将原始数据(如离散事件流和无序的记录)转化成可度量的空间。

  • 数据挖掘检测法:数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在,审计记录大多都是以文件形式存放的。如果靠手工方法来发现记录中的异常现象是远远不够的,所以将数据挖掘技术应用于入侵检测中,可以从审计数据中提取有用的知识,然后用这些知识检测异常入侵和已知的入侵。

  • 基于应用模式的异常检测法:该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较,从而发现异常行为。

  • 基于文本分类的异常检测法:该方法是将系统产生的进程调用集合转换为“文档”,利用K邻聚类文本分类算法,计算文档的相似性。