異常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
相關定義
1、異常檢測是指通過攻擊行為的特征庫,采用特征匹配的方法確定攻擊事件。誤用檢測的優點是檢測的誤報率低,檢測快,但誤用檢測通常不能發現攻擊特征庫中沒有事先指定的攻擊行為,所以無法檢測層出不窮的新攻擊
2、異常檢測是指根據非正常行為(系統或用戶)和使用計算機非正常資源來檢測入侵行為。其關鍵在于建立用戶及系統正常行為輪廓(Profile),檢測實際活動以判斷是否背離正常輪廓
3、異常檢測是指將用戶正常的習慣行為特征存儲在數據庫中,然后將用戶當前的行為特征與特征數據庫中的特征進行比較,如果兩者的偏差足夠大,則說明發生了異常
4、異常檢測是指利用定量的方式來描述可接受的行為特征,以區分和正常行為相違背的、非正常的行為特征來檢測入侵
5、基于行為的入侵檢測方法,通過將過去觀察到的正常行為與受到攻擊時的行為相比較,根據使用者的異常行為或資源的異常使用狀況來判斷是否發生入侵活動,所以也被稱為異常檢測
6、統計分析亦稱為異常檢測,即按統計規律進行入侵檢測。統計分析先對審計數據進行分析,若發現其行為違背了系統預計,則被認為是濫用行為
7、統計分析亦稱為異常檢測。通過將正常的網絡的流量。網絡延時以及不同應用的網絡特性(如時段性)統計分析后作為參照值,若收集到的信息在參照值范圍之外,則認為有入侵行為
8、異常檢測(Anomaly-based detection)方法首先定義一組系統處于“正常”情況時的數據,如CPU利用率、內存利用率、文件校驗和等然后進行分析確定是否出現異常。
參考資料 >