-
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。
-
根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
-
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
-
异常检测的局限在于并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新;
-
误用检测是一种检测计算机攻击的方法。
-
在误用检测方法中,首先定义异常系统行为,然后将所有其他行为定义为正常。它反对使用反向的异常检测方法:首先定义正常系统行为并将所有其他行为定义为异常。通过误用检测,任何未知的都是正常的。
-
误用检测的一个例子是在入侵检测系统中使用攻击签名。误用检测也被更普遍地用于指各种计算机滥用。
-
理论上,误用检测假设异常行为具有易于定义的模型。它的优点是可以简单地将已知攻击添加到模型中。它的缺点是无法识别未知的攻击。
区别:
异常检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件.误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击。
异常检测与误用检测的差异
最新推荐文章于 2024-10-07 08:36:40 发布