异常检测与误用检测的差异

  1. 异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。

  2. 根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。

  3. 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

  4. 异常检测的局限在于并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新;

  5. 误用检测是一种检测计算机攻击的方法。

  6. 在误用检测方法中,首先定义异常系统行为,然后将所有其他行为定义为正常。它反对使用反向的异常检测方法:首先定义正常系统行为并将所有其他行为定义为异常。通过误用检测,任何未知的都是正常的。

  7. 误用检测的一个例子是在入侵检测系统中使用攻击签名。误用检测也被更普遍地用于指各种计算机滥用。

  8. 理论上,误用检测假设异常行为具有易于定义的模型。它的优点是可以简单地将已知攻击添加到模型中。它的缺点是无法识别未知的攻击。
    区别:
    异常检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件.误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值