|
|
|
知识路径: > 入侵检测技术原理与应用 > 入侵检测技术 > 基于异常的入侵检测技术 > 基于异常的入侵检测技术 >
|
|
相关知识点:4个
|
|
|
|
|
基于模式预测的异常检测方法的前提条件是:事件序列不是随机发生的而是服从某种可辨别的模式,其特点是考虑了事件序列之间的相互联系。安全专家Teng和Chen给出了一种基于时间的推理方法,利用时间规则识别用户正常行为模式的特征。通过归纳学习产生这些规则集,并能动态地修改系统中的这些规则,使之具有较高的预测性、准确性和可信度。如果规则大部分时间是正确的,并能够成功地用于预测所观察到的数据,那么规则就具有较高的可信度。例如,TIM(Time-based Inductive Machine)给出下述产生规则:
|
|
|
|
|
|
其中,E1~E5表示安全事件。上述规则说明,事件发生的顺序是E1,E2,E3,E4,E5。事件E4发生的概率是95%,事件E5发生的概率是5%。通过事件中的临时关系,TIM能够产生更多的通用规则。根据观察到的用户行为,归纳产生出一套规则集,构成用户的行为轮廓框架。如果观测到的事件序列匹配规则的左边,而后续的事件显著地背离根据规则预测到的事件,那么系统就可以检测出这种偏离,表明用户操作异常。这种方法的主要优点有:①能较好地处理变化多样的用户行为,并具有很强的时序模式;②能够集中考察少数几个相关的安全事件,而不是关注可疑的整个登录会话过程;③容易发现针对检测系统的攻击。
|
|
|
|
|
|
|
|
| |
|
|
|
