具有代表性的异常检测方法有哪些
具有代表性的异常检测方法有:
基于特征选择的异常检测方法:基于特征选择的异常检测方法,是从一组特征值中选择能够检测出入侵行为的特征值,构成相应的入侵特征库,用于预测入侵行为。其关键之处是能否针对具体的入侵类型选择到合适的特征值,因此理想的入侵检测特征库需要能够进行动态的判断。在基于特征选择的异常检测方法中,Maccabe提出的使用遗传算法对特征集合进行搜索以生成合适的入侵特征库的方法是一种比较有代表性的方法。
基于机器学习的异常检测方法:基于机器学习的异常检测方法,是通过机器学习实现入侵检测,主要方法有监督学习、归纳学习、类比学习等。在基于机器学习的异常检测方法中,Carla和Brodley提出的实例学习方法IBL比较具有代表性。该方法基于相似度,通过新的序列相似度计算,将原始数据转化为可度量的空间,然后应用学习技术和相应的分类方法,发现异常类型事件,从而检测入侵行为。其中,阈值由成员分类概率决定。
基于模式归纳的异常检测方法:基于模式归纳的异常检测方法,是假定事件的发生服从某种可辨别的模式而不是随机发生。在基于模式归纳的异常检测方法中,Teng和Chen提出的利用时间规则识别用户正常行为模式特征的基于时间的推理方法比较具有代表性。该方法通过归纳学习产生规则集,并对系统中的规则进行动态的修改,以提高其预测的准确性与可信度。
基于数据挖掘的异常检测方法:基于数据挖掘的异常检测方法,是在对计算机网络产生的大量文件进行分析的基础上产生的,随着计算机网络的快速发展,其产生的文件数量也越来越多,单纯依靠人工方法对其进行分析以发现异常已经变得非常困难,因此数据挖掘技术被引入入侵检测领域。目前基于数据挖掘的异常检测方法中,具有代表性的是KDD算法,其优点是适合处理大量数据,缺点是运算量偏大,对数据的实时性分析支持不够。
基于神经网络的异常检测方法:基于神经网络的异常检测方法,是利用神经网络的分类和识别功能对数据进行分析,特别适用于一些环境信息十分复杂、背景知识不详、样本有较大缺陷和不足的情况。基于神经网络的异常检测方法,首先要获取研究主体,如主机、用户等的行为模式特征知识,利用神经网络的识别、分类和归纳能力,实现入侵检测系统适用用户行为的动态变化特征。神经网络的缺点在于计算量较大,这将影响检测的实时性要求。
基于统计模型的异常检测方法:统计模型常用于对异常行为的检测,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。