本文综述了入侵检测技术,包括异常和误用检测方法。异常检测涉及特征选择、贝叶斯推理、统计分析等多个方面,而误用检测则涵盖条件概率、状态迁移分析和规则匹配等。结合两种方法可以有效减少误报和漏报。文中还分享了网络安全学习资源。
一、概述
在对入侵检测系统进行了一段时间的研究之后,将笔者对于入侵检测系统的认识整理归纳如下。
入侵检测系统的概念是指未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。入侵检测系统分为异常入侵检测系统和误用入侵检测系统。异常入侵检测系统是指记录某种状态下的系统运行行为,将其定义为正常行为。对系统运行进行实时监测,一旦发现与正常行为在超过某个阈值的不匹配的特征,便进行报警。误用入侵检测系统是指定义恶意行为。对系统进行实时监测,一旦发现与定义的恶意行为匹配的行为,便进行报警。
已有的异常入侵检测方法有基于特征选择的异常检测方法、基于贝叶斯推理的异常检测、基于贝叶斯网络的异常检测、基于统计的异常检测方法、基于模式预测的异常检测方法、基于机器学习的异常检测方法、基于数据挖掘的异常检测方法、基于应用模式的异常检测方法、基于文本分类的异常检测方法。已有的误用入侵检测方法有基于条件概率的误用入侵检测、基于状态迁移分析的误用入侵检测、基于键盘监控的误用入侵检测、基于规则的误用入侵检测方法。
二、异常入侵检测方法
2.1基于特征选择的异常检测
基于特征选择的异常检测方法,系指从一组度量中选择能够检测出入侵的度量,构成子集,从而预测或分类入侵行为。
2.2基于贝叶斯推理的异常检测
基于贝叶斯推理的异常检测是根据异常行为判断系统被入侵的概率,但是,要考虑异常变量之间的相关性。
2.3基于贝叶斯网络的异常检测
基于贝叶斯网络的异常检测可以将随机变量之间的关系用图形方式画出。通过指定的一个小的与邻接节点相关的概率集计算随机变量的联接概率分布。按给定全部节点组合,所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图,弧表示父结点和子结点之间的依赖关系。这样,当随机变量的值变为已知时
最低0.47元/天 解锁文章
扫一扫
2250
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
