异常检测与误用检测的差异

最新推荐文章于 2024-06-20 17:12:35 发布
最新推荐文章于 2024-06-20 17:12:35 发布
阅读量1.5w 收藏 24
点赞数 4
分类专栏: 学习笔记 入侵检测 文章标签: 入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Winnycatty/article/details/83185576
版权

  1. 异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。

  2. 根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。

  3. 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

  4. 异常检测的局限在于并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新;

  5. 误用检测是一种检测计算机攻击的方法。

  6. 在误用检测方法中,首先定义异常系统行为,然后将所有其他行为定义为正常。它反对使用反向的异常检测方法:首先定义正常系统行为并将所有其他行为定义为异常。通过误用检测,任何未知的都是正常的。

  7. 误用检测的一个例子是在入侵检测系统中使用攻击签名。误用检测也被更普遍地用于指各种计算机滥用。

  8. 理论上,误用检测假设异常行为具有易于定义的模型。它的优点是可以简单地将已知攻击添加到模型中。它的缺点是无法识别未知的攻击。
    区别:
    异常检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件.误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击。

Winnycatty
关注
专栏目录
数据挖掘在入侵检测中的应用
10-26
误用检测依赖于已知的攻击模式库,将活动与已知攻击模式对比,来发现入侵。异常检测则基于系统正常行为的建模,任何偏离正常模式的行为都有可能被视为入侵。由于异常检测不依赖于特定的攻击签名,它在检测新型攻击...
一种新的基于数据挖掘技术的异常入侵检测系统研究.pdf
07-14
相比之下,基于异常的检测系统通过比较当前系统活动与过去行为模式之间的差异,可以有效检测到新的和未知的攻击。 为了提高入侵检测的准确性和效率,研究者们提出了基于数据挖掘技术的异常入侵检测系统模型。通过...
入侵检测系统的主要功能有哪些_深入解析IDS入侵检测异常检测误用检测的方法_零开始黑客笔记
最新发布
程序员三九的博客
06-20 574
入侵检测系统(IDS)是保障网络安全的重要手段。IDS的异常检测误用检测各有其独特的机制和应用场景。本文将详细解析这两种检测方法的工作原理及优缺点。
异常检测误用检测的简单对比
Pang_Yue__Fairy的博客
03-16 3697
我的理解是: 异常检测就是建立一个主体正常活动的模型,不符合这个模型的就告警;误用检测/滥用检测就是建立一个主体异常活动的模型,只有符合这个模型的才会告警; 异常检测就像建立一个白名单,不在这个名单里的统统毙掉;误用检测就像建立一个黑名单,在这个名单里的才会毙掉; 根据道哥的《白帽子讲Web安全》,白名单一般比黑名单好,虽然误报率可能会更高,但漏报率会更少,能用白名单还是用白名单比较好。 类比到法律的话,法律则是比较接近黑名单的思想,法无禁止皆可为。 ...
异常入侵检测误用入侵检测的区别和联系
qq_36629373的博客
01-01 6102
二者之间的区别如下: 就模型构建而言,异常入侵检测学习的是正常的行为模式;误用入侵检测编码的是特定的入侵行为。 就训练而言,异常入侵检测模式的建立需要经过一定的训练时间;误用入侵检测不需要。 就是否能够发现新的攻击模式而言,异常入侵检测可以做到,因为它匹配的是正常行为,如果没有匹配到,则说明待检测行为是未知的攻击模式;误用入侵检测做不到,因为它匹配的是异常行为,如果没有匹配成功,则默认该行为是正常行为,因此它只能够检测出已知的攻击类型。 就漏报率而言,异常入侵检测的漏报率低,因为它类似于白名单机制,
误用检测异常检测的优缺点
网工小小威
07-02 9064
误用检测技术 优点:检测准确度高,技术相对成熟,便于系统维护等 缺点:入侵信息的收集和更新困难,难以检测本地入侵和新的入侵行为,维护特征库的工作量巨大 异常检测技术 优点:能够检测新的入侵或从未发送的入侵;对操作系统的依赖性较小;可检测出属于滥用权限型的入侵 缺点:报警率高,行为模型建立困难 ...
【Datawhale第25期组队学习】Task01:异常检测概念和方法
H_1008的博客
05-11 398
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、异常检测的基本概念1.异常类别2.任务分类&难点二、异常检测方法1. 基于统计学的方法2.线性模型3.基于邻近度的方法4.集成方法5.机器学习 前言 第一次写学习笔记,因为作业堆积有些匆忙。 正文没有全部照搬,只摘抄自己新get到的。 刚好下周该我分享论文了,所以想正好分享个跟异常检测有关的论文,结果发现论文大都是cv方向或者金融里的fraud detection,结果搜了好长时间也没找到满意的,(自己能看懂,且
入侵检测系统的类型
2301_76161259的博客
04-12 3172
IDS可以基于检测入侵的方法、检测入侵的反应/响应方法、体系结构或虚拟机来分类,如图3所示。图1:IDS不同的分类方法。
网络异常检测的关键技术应用.docx
03-02
入侵检测技术通常分为两种主要类型:误用检测异常检测误用检测依赖于已知攻击模式的签名,而异常检测则关注网络行为的偏离常态。本文将重点讨论以神经网络和聚类分析为基础的异常检测技术。 1. 以神经网络为...
NSA.rar_nsa c++_入侵检测_入侵检测算法_负选择算法
09-21
误用检测基于已知攻击模式,而异常检测则基于行为分析,寻找与正常行为模式偏离的活动。负选择算法属于异常检测的一种,它关注的是那些无法归类为正常行为的网络活动。 负选择算法的工作原理大致如下:首先,它建立...
内容安全(IPS入侵检测
m0_66993332的博客
05-07 645
入侵检测系统IPS
网络安全的相关知识点
m0_58475926的博客
08-09 1366
网络安全的相关知识,网络攻击、加密技术、数字签名、认证、vpn、第二层隧道协议、数据链路层协议、计算机病毒、入侵检测系统IDS、
网络安全概论——入侵检测系统IDS
VN520的博客
04-13 3391
因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。假定所有入侵行为都是与正常行为不同的,如果建立系统正常行为轨迹,那么理论上可以通过统计那些不同于我们已建立的特征文件的所有系统状态的数量来识别入侵企图,把所有与正常轨迹不同的系统状态视为可疑企图。误用检测系统的关键问题是如何从已知入侵中提取金和编写特征,使得其能够覆盖该入侵的所有可能的变种,而同时不会匹配到非法入侵活动(把真正入侵与正常行为区分开来)
华为安全 HCIP722笔记
u014576453的博客
03-20 9571
华为安全722题库知识点总结。
基于人工智能方向的网络空间安全(二):人工智能在网络攻击检测中的应用(上)
道长道长的博客
10-19 265
本文介绍了人工智能方法及其在检测网络进攻中的应用,主要实体是二元分类器,旨在将每个输入对象与两组类中的一个进行匹配,并且考虑了组合二元分类器的各种方案,这允许构造在不同子样本上训练的模型。
网络安全教程(5)
yuwoxinanA3的博客
03-29 5646
15虚拟专用网技术 15-1虚拟专用网概述 虚拟专用网(Virtual Private Network,VPN)是在公共通信基础设施上构建的虚拟的专用网或私有网,可以将其视为一种从公共网络中隔离出来的网络。VPN通过将物理分布地点不同的网络或终端通过公用网络连接起来组成一个虚拟的网络。虚拟指明了网络的物理属性,说明网络并不真实存在,是利用现有的网络以及相应技术虚构出来的网络;私有指明了网络的安全属性,说明了网络的专用性、私密性。 企业与分支机构、合作伙伴、客户进行互连...
网络安全 入侵检测技术
在校大学生
12-28 1532
入侵检测系统(IDS)用于进行入侵检测的自动化工具,是入侵检测的软件与硬件的组合。从发展而来第一次详细阐述了入侵检测的概念计算机系统威胁分类:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作。1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES(入侵检测专家系统)
马修斯相关系数(Matthews correlation coefficient)
热门推荐
Winnycatty的博客
10-08 3万+
马修斯相关系数是在使用机器学习作为二进制(2类)的质量的度量的分类,通过生物化学引入布赖恩W. 马修斯在1975年 它考虑到真和假阳性和假阴性,并且通常是被视为一种平衡的措施,即使这些班级的规模大小不同也可以使用。 MC实质上是观察到的和预测的二元分类之间的相关系数; 它返回介于-1和+1之间的值。系数+1表示完美预测,0表示不比随机预测好,-1表示预测和观察之间的完全不一致。统计数据也称为ph...
"入侵检测分类:异常检测误用检测技术
根据分析方法的不同,入侵检测可以分为异常检测模型和误用检测模型两种。 异常检测模型是通过总结正常操作的特征来检测入侵。首先,需要定义正常用户行为的轮廓,并提取其特征。当用户的活动与这些特征有显著偏离时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值