@瞌睡虫
2年前 提问
1个回答

主机入侵检测数据源同操作系统审计记录相比有哪些优势

delay
2年前

主机入侵检测数据源同操作系统审计记录相比有以下优势:

  • 易于构建高精度异常检测模型:由于特权程序在正常工作模式下的系统调用跟踪具有良好的稳定性,所以针对某个特权程序在正常工作模式下的系统调用跟踪数据训练异常检测模型,必然能够有效地提高异常检测模型的检测精度,一般来说,针对性强的检测模型不仅检测精度高,而且训练时间短。

  • 易于将入侵检测与操作系统捆绑:操作系统安全是网络安全、数据库安全和应用软件安全的公共基础,因此,没有操作系统安全,也谈不上计算机系统和网络的安全。系统调用是应用进程和操作系统内核之间的唯一功能接口,基于系统调用跟踪构建的入侵检测模型更容易与操作系统紧密结合,为构建安全操作系统奠定了基础。

  • 易于构建实时检测模型:由于系统调用跟踪数据能够以近实时方式采集,与其他主机入侵检测数据源相比,数据量也相对较小。无论是异常检测模型,还是误用检测模型,其模式库的规模相对较小,有助于构建小规模的实时检测模型。

  • 数据栺式适合机器学习要求:系统调用跟踪数据是一串连续的系统调用编号,采用简单的窗口扫描和统计方法对数据进行预处理,即可将系统调用跟踪转换成各种机器学习算法所要求的输入栺式,提高了检测模型的学习速率。