一、入侵檢測系統分爲 異常入侵檢測系統 和 誤用入侵檢測系統
-
異常入侵檢測系統是指記錄某種狀態下的系統運行行爲,將其定義爲正常行爲。對系統運行進行實時監測,一旦發現與正常行爲在超過某個閾值的不匹配的特徵,便進行報警。
- 基於特徵選擇的異常檢測方法
- 基於貝葉斯推理的異常檢測
- 基於貝葉斯網絡的異常檢測
- 基於統計的異常檢測方法
- 基於模式預測的異常檢測方法
- 基於機器學習的異常檢測方法
- 基於數據挖掘的異常檢測方法
- 基於應用模式的異常檢測方法
- 基於文本分類的異常檢測方法
-
誤用入侵檢測系統是指定義惡意行爲。對系統進行實時監測,一旦發現與定義的惡意行爲匹配的行爲,便進行報警。
- 基於條件概率的誤用入侵檢測
- 基於狀態遷移分析的誤用入侵檢測
- 基於鍵盤監控的誤用入侵檢測
- 基於規則的誤用入侵檢測方法
二、異常入侵檢測方法
2.1 基於特徵選擇的異常檢測
基於特徵選擇的異常檢測方法,係指從一組度量中選擇能夠檢測出入侵的度量,構成子集,從而預測或分類入侵行爲。
2.2 基於貝葉斯推理的異常檢測
基於貝葉斯推理的異常檢測是根據異常行爲判斷系統被入侵的概率,但是,要考慮異常變量之間的相關性。
2.3 基於貝葉斯網絡的異常檢測
基於貝葉斯網絡的異常檢測可以將隨機變量之間的關係用圖形方式畫出。通過指定的一個小的與鄰接節點相關的概率集計算隨機變量的聯接概率分佈。按給定全部節點組合,所有根節點的先驗概率和非根節點概率構成這個集。貝葉斯網絡是一個有向圖,弧表示父結點和子結點之間的依賴關係。這樣,當隨機變量的值變爲已知時,就允許將它吸收爲證據,爲其他的剩餘隨機變量條件值判斷提供計算框架。需要解決的問題是,判斷根結點的先驗概率值與確定每個有向弧的連接矩陣。
2.4 基於統計的異常檢測方法
基於統計的異常檢測將數據根據不同數據類分成各個集合。優點:根據給定的數據,自動判斷並確定類型數目,不要求相似測量、停頓規則、聚類準則,可以混合連續屬性和離散屬性。自動分類技術主要是監督式的分類,貝葉斯分類方法並沒有實際使用,貝葉斯分類允許理想化的分類數,具有相似輪廓的用戶羣組以及遵從符合用戶特徵集的自然分類。自動分類技術現在存在的問題:如何處理固有的次序性數據,在分類中如何考慮統計分佈特性等問題,異常閾值的選擇和防止攻擊者干擾類型分佈。
2.5 基於模式預測的異常檢測方法
基於模式預測的異常檢測方法考慮基於時間域的事件序列,產生規則集,優點是可以只關注某幾個相關安全事件。
2.6 基於機器學習的異常檢測方法
基於機器學習的異常檢測方法有這樣一些方法:死記硬背、監督學習、歸納學習、類比學習。根據離散數據臨時序列特徵學習獲得個體、系統和網絡的行爲特徵;並提出了一個基於相似度的實例學習方法IBL(instance based learning),該方法通過新的序列相似度計算,將原始數據(如離散事件流和無序的記錄)轉化成可度量的空間。然後,應用IBL學習技術和一種新的基於序列的分類方法,發現異常類型事件,從而檢測入侵行爲。其中,閾值的選取由成員分類的概率決定 。實驗結果表明這種方法檢測迅速,而且誤報率低。
然而,這種方法對於用戶動態行爲變化以及單獨異常檢測還有待改善。總之,機器學習中許多模式識別技術對於入侵檢測都有參考價值,特別是用於發現新的攻擊行爲。
2.7 基於數據挖掘的異常檢測方法
基於數據挖掘的異常檢測方法適用於大量數據的網絡,但是實時性較差。目前的方法有 KDD,優點是,善於處理大量數據的能力與數據關聯分析的能力
2.8 基於應用模式的異常檢測方法
基於應用模式的異常檢測方法根據服務請求類型、服務請求長度、服務請求包大小分佈計算網絡服務的異常值。通過實時計算的異常值和所訓練的閾值比較。
2.9 基於文本分類的異常檢測方法
基於文本分類的異常檢測方法將系統產生的進程調用集合轉換爲“文檔”。利用K最近鄰聚類文本分類算法,計算文檔的相似性。
三、誤用入侵檢測方法
3.1 基於條件概率的誤用入侵檢測
基於條件概率的誤用檢測方法,指將入侵方式對應一個事件序列,然後觀測事件發生序列,應用貝葉斯定理進行推理,推測入侵行爲。基於條件概率的誤用檢測方法,是基於概率論的一種通用方法。它是對貝葉斯方法的改進,其缺點是先驗概率難以給出,而且基於概率論的一種通用方法。它是對貝葉斯方法的改進,其缺點是先驗概率難以給出,而且事件的獨立性難以滿足。
3.2 基於狀態遷移分析的誤用入侵檢測
狀態遷移分析方法以狀態圖表示攻擊特徵,不同狀態刻畫了系統某一時刻的特徵。初始狀態對應於入侵開始前的系統狀態,危害狀態對應於已成功入侵時刻的系統狀態。初始狀態與危害狀態之間的遷移可能有一個或多箇中間狀態。攻擊者執行一系列操作,使狀態發生遷移,可能使系統從初始狀態遷移到危害狀態。因此,通過檢查系統的狀態就能夠發現系統中的入侵行爲。採用該方法的IDS 有STAT(state transition analysis technique)和USTAT(statetransition analysis tool for UNIX)。
3.3 基於鍵盤監控
基於鍵盤監控的誤用檢測方法,假設入侵行爲對應特定的擊鍵序列模式,然後監測用戶擊鍵模式,並將這一模式與入侵模式匹配發現入侵行爲。這種方法的缺點是,在沒有操作系統支持的情況下,缺少捕獲用戶擊鍵的可靠方法。此外,也可能存在多種擊鍵方式表示同一種攻擊。而且,如果沒有擊鍵語義分析,用戶提供別名(例如Korn shell)很容易欺騙這種檢測技術。最後,該方法不能夠檢測惡意程序的自動攻擊。
3.4 基於規則的誤用檢測方法
基於規則的誤用檢測方法,指將攻擊行爲或入侵模式表示成一種規則,只要符合規則就認定它是一種入侵行爲。Snort 入侵檢測系統就採用了基於規則的誤用檢測方法。基於規則的誤用檢測按規則組成方式分爲以下兩類:
-
向前推理規則。根據收集到的數據,規則按預定結果進行推理,直到推出結果時爲止。這種方法的優點是,能夠比較準確地檢測入侵行爲,誤報率低;其缺點是,無法檢測未知的入侵行爲。目前,大部分IDS 採用這種方法。
-
向後推理規則。由結果推測可能發生的原因,然後再根據收集到的信息判斷真正發生的原因。因此,這種方法的優點是,可以檢測未知的入侵行爲,但缺點是,誤報率高。
四、總結
異常入侵檢測容易出現誤報,而誤用入侵檢測容易出現漏報。這取決於所使用的特徵數據庫。將兩者結合使用也不失爲一種折衷的辦法。
原文:https://blog.csdn.net/tingirl/article/details/3720207
版權聲明:本文爲博主原創文章,轉載請附上博文鏈接!