| 统计检测常使用异常检测,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测有以下5种统计模型。
|
|
|
| ①操作模型。该模型假设异常可通过测量结果与一些固定指标相比较而得到,固定指标可以根据经验值或一段时间内的统计平均值得到,例如在短时间内多次失败的登录很有可能是口令尝试攻击。
|
|
|
| ②方差。对计算参数的方差设定置信区间,当测量值超过置信区间的范围时就表明有可能是异常。
|
|
|
| ③多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
|
|
|
| ④马尔可夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵表示状态的变化,当一个事件发生或状态矩阵转移的概率较小时,就可能是异常事件。
|
|
|
| ⑤时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
|
|
|
京公网安备 11010502032051号 | 营业执照