基于存储的入侵检测技术
数据采集
数据特征分析
- 时间戳:精确显示每次打开、读取、写入或删除的时间;
- 进程名称:存储操作动作的发出者;
- 操作请求:包括 Fast I/O操作请求和IRP操作请求;
- 被操作的文件路径:存储操作响应的接受者;
- 操作结果状态:显示操作的最终结果;
- 具体读写信息:提供了与读写相关的数据长度和偏移量等。
数据预处理和规约
未处理的存储操作数据存在以下问题:
(1)某些正常和异常数据具有相同的取值特征,对于区分攻击类型起不到直接的作用;
(2)某些数据属性的表达方式不适合直接输入算法进行处理;
(3)对比网络数据和存储数据发现:网络数据产生于ISO模型的网络层或传输层,可靠性较高;而存储层次的数据质量相对较低,冗余操作、低信息量和错误数据充斥在正常操作的数据集里。