-
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。
-
根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認爲該活動可能是“入侵”行爲。
-
異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作爲“入侵”或忽略真正的“入侵”行爲。
-
異常檢測的侷限在於並非所有的入侵都表現爲異常,而且系統的軌跡難於計算和更新;
-
誤用檢測是一種檢測計算機攻擊的方法。
-
在誤用檢測方法中,首先定義異常系統行爲,然後將所有其他行爲定義爲正常。它反對使用反向的異常檢測方法:首先定義正常系統行爲並將所有其他行爲定義爲異常。通過誤用檢測,任何未知的都是正常的。
-
誤用檢測的一個例子是在入侵檢測系統中使用攻擊簽名。誤用檢測也被更普遍地用於指各種計算機濫用。
-
理論上,誤用檢測假設異常行爲具有易於定義的模型。它的優點是可以簡單地將已知攻擊添加到模型中。它的缺點是無法識別未知的攻擊。
區別:
異常檢測是指通過攻擊行爲的特徵庫,採用特徵匹配的方法確定攻擊事件.誤用檢測的優點是檢測的誤報率低,檢測快,但誤用檢測通常不能發現攻擊特徵庫中沒有事先指定的攻擊行爲,所以無法檢測層出不窮的新攻擊。
異常檢測與誤用檢測的
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.