| 异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是在许多环境中,为用户建立正常行为模式的特征轮廓及对用户活动的异常性进行报警的门限值的确定都是比较困难的事,所以仅使用异常性检测技术不可能检测出所有的入侵行为。
|
|
|
| 目前这类IDS多采用统计,或者基于规则描述的方法,建立系统主体的行为特征轮廓:
|
|
|
| (1)统计性特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述,如SRI的下一代实时入侵检测专家系统,这种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效。
|
|
|
| (2)基于规则描述的特征轮廓,由一组用于描述主体每个特征的合法取值范围与其他特征的取值之间关系的规则组成(如TIM)。该方案还可以采用从大型数据库中提取规则的数据挖掘技术。
|
|
|
| (3)神经网络方法具有自学习、自适应能力,可以通过自学习提取正常的用户或系统活动的特征模式,避开选择统计特征这一难题。
|
|
|
京公网安备 11010502032051号 | 营业执照