|
|
基于规范的入侵检测方法(specification-based intrusion detection)介于异常检测和误用检测之间,其基本原理是,用一种策略描述语言PE-grammars事先定义系统特权程序有关安全的操作执行序列,每个特权程序都有一组安全操作序列,这些操作序列构成特权程序的安全跟踪策略(trace policy)。若特权程序的操作序列不符合已定义的操作序列,就进行入侵报警。这种方法的优点是,不仅能够发现已知的攻击,而且也能发现未知的攻击。
|
|
|
|
基于生物免疫的检测方法,是指模仿生物有机体的免疫系统工作机制,使受保护的系统能够将“非自我(non-self)”的攻击行为与“自我(self)”的合法行为区分开来。该方法综合了异常检测和误用检测两种方法,其关键技术在于构造系统“自我”标志以及标志演变方法。
|
|
|
|
基于攻击诱骗的检测方法,是指将一些虚假的系统或漏洞信息提供给入侵者,如果入侵者应用这些信息攻击系统,就可以推断系统正在遭受入侵,并且安全管理员还可以诱惑入侵者,进一步跟踪攻击来源。
|
|
|
|
基于入侵报警的关联检测方法是通过对原始的IDS报警事件的分类及相关性分析来发现复杂攻击行为。其方法可以分为三类:第一类基于报警数据的相似性进行报警关联分析;第二类通过人为设置参数或通过机器学习的方法进行报警关联分析;第三类根据某种攻击的前提条件与结果(preconditions and consequences)进行报警关联分析。基于入侵报警的关联检测方法,有助于在大量报警数据中挖掘出潜在的关联安全事件,消除冗余安全事件,找出报警事件的相关度及关联关系,从而提高入侵判定的准确性。
|
|
|
|
基于沙箱动态分析的检测方法是指通过构建程序运行的受控安全环境,形成程序运行安全沙箱,然后监测可疑恶意文件或程序在安全沙箱的运行状况,获取可疑恶意文件或可疑程序的动态信息,最后检测相关信息是否异常,从而发现入侵行为。
|
|
|
|
基于大数据分析的检测方法是指通过汇聚系统日志、IDS报警日志、防火墙日志、DNS日志、网络威胁情报、全网流量等多种数据资源,形成网络安全大数据资源池,然后利用人工智能技术,基于网络安全大数据进行机器学习,以发现入侵行为。常见的大数据分析检查技术有数据挖掘、深度学习、数据关联、数据可视化分析等。
|
|
|