异常入侵检测和误用入侵检测的区别和联系

最新推荐文章于 2024-01-05 09:19:09 发布
最新推荐文章于 2024-01-05 09:19:09 发布
阅读量5.7k 收藏 21
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36629373/article/details/112058382
版权

二者之间的区别如下:

  1. 就模型构建而言,异常入侵检测学习的是正常的行为模式;误用入侵检测编码的是特定的入侵行为。
  2. 就训练而言,异常入侵检测模式的建立需要经过一定的训练时间;误用入侵检测不需要。
  3. 就是否能够发现新的攻击模式而言,异常入侵检测可以做到,因为它匹配的是正常行为,如果没有匹配到,则说明待检测行为是未知的攻击模式;误用入侵检测做不到,因为它匹配的是异常行为,如果没有匹配成功,则默认该行为是正常行为,因此它只能够检测出已知的攻击类型。
  4. 就漏报率而言,异常入侵检测的漏报率低,因为它类似于白名单机制,那些未被预期到的入侵行为也是可以被制止的;而误用入侵检测的漏报率有待提升,它类似于黑名单机制,在很多情况下,我们无法穷尽所有可能的入侵行为,所以会出现漏报。另外,由于该“黑名单”的存在,入侵者可以通过变形绕过“黑名单”,因而漏报率会高。
  5. 就模式库更新而言,异常入侵检测通常在入侵检测系统运行过程中进行,即边运行边更新;而误用入侵检测新特征发现过程和“使用已有特征进行检测”这一过程是相互独立的。

二者之间的联系如下:

  1. 二者都是入侵检测系统的可选方案。
  2. 二者都更新“特征/模式库”的行为。

 

李老板的水果店
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
入侵检测系统原理深入解析.docx
06-17
目录 1. 入侵检测系统简介 1 1.1 入侵检测分类 1 1.1.1按信息源分类 1 1.1.2按分析方法分类 1 1.2 入侵检测技术发展阶段 3 1.3 入侵检测系统基本原理 3 2. 入侵检测系统技术详解 4 2.1 模式匹配 4 2.2 协议分析 4 2.3 异常检测 4 2.3.1基于机器学习的异常检测方法 5 2.3.2基于模式归纳的异常检测方法 5 2.3.3基于数据挖掘的异常检测方法 5 2.3.4基于统计模型的异常检测方法 5 2.4 误用检测 6 2.5 数据挖掘 6 3. 入侵检测系统标准 6 3.1 标准比较 6 3.1.1在标准分级方面 7 3.1.2在标准功能要求方面 7 3.1.3在标准安全要求方面 7 3.1.4在标准安全保证要求方面 7 3.2 GB/T20275—2006标准检测方法 8 3.2.1依照产品功能 8 3.2.2依照产品安全 8
通信与网络中的基于数据挖掘技术的异常入侵检测系统研究
10-22
入侵检测系统IDS(intrusion detection system)是用户计算机主动安全防护的一种措施,它用于检测未经用户授权直接进行计算机信息访问的行为,它从系统内部和各种网络资源中主动采集信息,从中分析可能的异常入侵。     根据入侵检测方法,IDS分为异常检测系统和误用检测系统两大类。误用检测系统只能检测出已知特征模式的攻击,对未知特征模式的攻击无法检测。而异常检测系统采用将系统当前的活动与过去行为模型进行比较的方法,能够有效地对新的、未知的攻击进行检测。本文提出了一种新的基于数据挖掘技术的异常入侵检测系统ANEIDSDM(A New Exception Intrusion De
基于粗糙集和人工免疫的集成入侵检测模型
01-15
针对当前入侵检测存在的问题,通过引入粗糙集方法,综合误用检测和异常检测设计了一种基于粗糙集和人工免疫的集成入侵检测(RSAI-IID)模型,提出了一种在入侵检测中实现疫苗注入的方法。采用粗糙集方法获取疫苗,并保证了疫苗的优良性,优化检测性能;误用检测筛掉已知的入侵行为,提高检测的速度;异常检测针对未知攻击进行实时检测。最后在KDD99数据集上进行实验仿真,验证了模型的可行性和有效性。
什么是入侵检测系统?有哪些分类?
网络技术联盟站
11-10 5671
入侵检测系统 (IDS) 是一种监控系统,可检测可疑活动并在检测到这些活动时生成警报,它是一种软件应用程序,用于扫描网络或系统中的有害活动或违反政策的行为。任何恶意冒险或违规行为通常会报告给管理员或使用安全信息和事件管理 (SIEM) 系统集中收集。SIEM 系统集成了来自多个来源的输出,并使用警报过滤技术来区分恶意活动和误报。入侵防御系统还监控入站系统的网络数据包,来检查其中涉及的恶意活动,并立即发送警告通知。
安全防御之入侵检测与防范技术
学而思(xiejava的blog)
01-05 1601
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
入侵检测系统的类型
2301_76161259的博客
04-12 2158
IDS可以基于检测入侵的方法、检测入侵的反应/响应方法、体系结构或虚拟机来分类,如图3所示。图1:IDS不同的分类方法。
异常检测误用检测的差异
热门推荐
Winnycatty的博客
10-19 1万+
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。 根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 异常检测的局限在于并非所有的入侵都表现...
异常检测误用检测的简单对比
Pang_Yue__Fairy的博客
03-16 3431
我的理解是: 异常检测就是建立一个主体正常活动的模型,不符合这个模型的就告警;误用检测/滥用检测就是建立一个主体异常活动的模型,只有符合这个模型的才会告警; 异常检测就像建立一个白名单,不在这个名单里的统统毙掉;误用检测就像建立一个黑名单,在这个名单里的才会毙掉; 根据道哥的《白帽子讲Web安全》,白名单一般比黑名单好,虽然误报率可能会更高,但漏报率会更少,能用白名单还是用白名单比较好。 类比到法律的话,法律则是比较接近黑名单的思想,法无禁止皆可为。 ...
入侵检测
chengl920828的博客
04-06 1821
IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量
入侵检测技术综述(比较全)
yyj173637的博客
04-12 1015
在对入侵检测系统进行了一段时间的研究之后,将笔者对于入侵检测系统的认识整理归纳如下。入侵检测系统的概念是指未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。入侵检测系统分为异常入侵检测系统和误用入侵检测系统。异常入侵检测系统是指记录某种状态下的系统运行行为,将其定义为正常行为。对系统运行进行实时监测,一旦发现与正常行为在超过某个阈值的不匹配的特征,便进行报警。误用入侵检测系统是指定义恶意行为。对系统进行实时监测,一旦发现与定义的恶意行为匹配的行为,便进行报警。
基于数据挖掘技术的异常入侵检测系统研究
01-19
入侵检测系统IDS(intrusion detection system)是用户计算机主动安全防护的一种措施,它用于检测未经用户授权直接...本文提出了一种新的基于数据挖掘技术的异常入侵检测系统ANEIDSDM(A New Exception Intrusion De
工业控制系统入侵检测研究综述
01-14
为向工控安全领域的研究人员提供理论支持,对工控系统攻击的特点和检测难点进行了分析,报告了工业系统中入侵检测技术的研究现状,并对不同检测技术的性能和特点进行了比较,最后生成了一份工业入侵检测研究综述。
【信息安全原理】——入侵检测与网络欺骗(学习笔记)
HinsCoder的博客
12-27 1244
在网络安全防护领域,防火墙是保护网络安全的一种最常用的设备。网络管理员希望通过在网络边界合理使用防火墙,屏蔽源于外网的各类网络攻击。但是,防火墙由于自身的种种限制,并不能阻止所有攻击行为。入侵检测(intrusion detection)通过实时收集和分析计算机网络或系统中的各种信息,来检查是否出现违反安全策略的行为和遭到攻击的迹象,进而达到预防、阻止攻击的目的,是防火墙的有力补充。而网络欺骗则是在网络中设置用来引诱入侵者的目标,将入侵者引向这些错误的目标来保护真正的系统,同时监控、记录、识别、分析入侵者的
【网络安全】入侵检测系统IDS
A1_3_9_7的博客
01-02 842
检测对计算机系统的非授权访问 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的保密性、完整性和可用性 识别针对计算机系统和网络系统或广义上的信息系统的非法攻击,包括检测外部非法入侵者的恶意攻击或探测,以及内部合法用户越权使用系统资源的非法行为。
误用检测和异常检测的优缺点
网工小小威
07-02 8703
误用检测技术 优点:检测准确度高,技术相对成熟,便于系统维护等 缺点:入侵信息的收集和更新困难,难以检测本地入侵和新的入侵行为,维护特征库的工作量巨大 异常检测技术 优点:能够检测新的入侵或从未发送的入侵;对操作系统的依赖性较小;可检测出属于滥用权限型的入侵 缺点:报警率高,行为模型建立困难 ...
信息安全软考 第十章 入侵检测技术原理应用
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
10-11 2295
美国专家讲入侵定义为“非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作”。我们一般认为,入侵应与受害目标相关联 ,该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是否为入侵的依据是:对目标的操作是否超出了目标安全策略范围。因此入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,简称为IDS。
入侵检测模型(An Intrusion-Detection Model)
一智哇的博客
06-29 2410
入侵检测
第七讲 入侵检测技术
skicth的博客
12-25 1万+
概念:入侵检测 入侵检测通用框架(IDWG CIDF CVE) 理解:入侵检测原理、入侵检测系统分类、误用检测和异常检测区别及特点 运用举例: 能够依据具体的应用场景,选择恰当的入侵检测系统部署方法,满足应用需求。 一、概述 1.概念 入侵:绕过系统安全机制的非授权行为。 入侵检测:是一种对计算机系统或者网络事件进行监测并分析这些入侵事件特征的过程。 入侵检测系统:自动进
jedis示例代码压缩包
最新发布
04-23
jedis示例代码
异常检测误用检测的区别
06-10
异常检测误用检测都是机器学习中常见的技术,但它们之间有一些区别: 1. 异常检测注重于检测与数据集中其他数据点不同的数据点,即“异常值”。这些数据点可能是噪声、欺诈行为、设备故障或其他非典型数据。 2. 误用检测注重于检测已知的或预定义的异常行为或事件,即“误用”。这些事件可能是网络攻击、欺诈行为、病毒感染或其他已知的异常事件。 3. 异常检测通常用于无监督学习中,因为异常数据点通常不会被标记。而误用检测通常用于监督学习中,因为已知的异常行为通常会被标记。 4. 异常检测的目标是识别潜在的非典型数据点,而误用检测的目标是识别已知的异常行为或事件。 总之,异常检测误用检测都是重要的机器学习技术,但在目标和应用上有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值