异常检测之浅谈入侵检测
打開(kāi)微信掃一掃,關(guān)注微信公眾號(hào)【數(shù)據(jù)與算法聯(lián)盟】
轉(zhuǎn)載請(qǐng)注明出處:http://blog.csdn.net/gamer_gyt
博主微博:http://weibo.com/234654758
Github:https://github.com/thinkgamer
前言
由于業(yè)務(wù)關(guān)系,最近一段時(shí)間一直在關(guān)注入侵檢測(cè)技術(shù)方面的知識(shí),經(jīng)過(guò)了最近一天的學(xué)習(xí)與調(diào)研,在大體上還是有了一定的了解與研究,下面就分享一下我得學(xué)習(xí)成果,當(dāng)然大部分知識(shí)都是從網(wǎng)上進(jìn)行收集和整理的,當(dāng)然加上了自己的一些想法
本文永久地址:http://blog.csdn.net/gamer_gyt/article/details/53876659
什么是入侵檢測(cè)
??????入侵檢測(cè)(Intrusion Detection )是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若于關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵入侵檢測(cè)技術(shù)雖然也能夠?qū)W(wǎng)絡(luò)攻擊進(jìn)行識(shí)另拼作出反應(yīng),但其側(cè)重點(diǎn)還是在于發(fā)現(xiàn),而不能代替防火墻系統(tǒng)執(zhí)行整個(gè)網(wǎng)絡(luò)的訪問(wèn)控制策略。
??????入侵檢測(cè)系統(tǒng)(intrusion Detection System ,IDS)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用為進(jìn)行識(shí)別的系統(tǒng);它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為,包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自內(nèi)部用戶的非授權(quán)行為,并且采取相應(yīng)的防護(hù)手段。
入侵檢測(cè)系統(tǒng)的分類
一:按檢測(cè)分析方法分類
1:異常檢測(cè)
??????基于異常的入侵檢測(cè)方法主要來(lái)源于這樣的思想,任何人的正常行為都是有一定的規(guī)律的,并且可以通過(guò)分析這些行為的日志信息型總結(jié)出這些規(guī)律,而入侵和濫用行為規(guī)則通常和正常的行為存在嚴(yán)重的差異,通過(guò)檢查這些差異就可以判斷是否為入侵。總之,一場(chǎng)檢測(cè)基于這樣的假設(shè)和前提:用戶活動(dòng)是有規(guī)律的,而且這種規(guī)律是可以通過(guò)數(shù)據(jù)有效的描述和反映;入侵時(shí)異常活動(dòng)的子集和用戶的正常活動(dòng)有著可以描述的明顯的區(qū)別。
??????異常監(jiān)測(cè)系統(tǒng)首先經(jīng)過(guò)一個(gè)學(xué)習(xí)階段,總結(jié)正常的行為的輪廓成為自己的先驗(yàn)知識(shí),系統(tǒng)運(yùn)行時(shí)將信息采集子系統(tǒng)獲得并預(yù)處理后的數(shù)據(jù)與正常行為模式比較,如果差異不超出預(yù)設(shè)閥值,則認(rèn)為是正常的,出現(xiàn)較大差異即超過(guò)閥值則判定為入侵。
??????異常檢測(cè)系統(tǒng)有如下特點(diǎn):
??????1):檢測(cè)的效率取決于用戶輪過(guò)的完備性和監(jiān)控的頻率,因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義,而能有效檢測(cè)未知的入侵,因此也稱為一個(gè)研究熱點(diǎn)
??????2):系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化,但隨著檢測(cè)模型的逐步精確,異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源
2:誤用檢測(cè)
?????? 又稱為基于特征的檢測(cè),基于誤用的入侵檢測(cè)系統(tǒng)通過(guò)使用某種模式或者信號(hào)標(biāo)示表示攻擊,進(jìn)而發(fā)現(xiàn)同類型的攻擊,其實(shí)現(xiàn)過(guò)程是:先收集非正常操作的行為特征,系統(tǒng)就認(rèn)為這種行為是入侵,系統(tǒng)處理過(guò)程如同:
??????這種方法可以檢測(cè)到許多甚至是全部已知的攻擊行為,如果入侵特征與正常的用戶行為能匹配,則系統(tǒng)會(huì)發(fā)生誤報(bào),如果沒(méi)有特征能與某種新的攻擊行為匹配,則系統(tǒng)會(huì)發(fā)生漏報(bào)。
??????特點(diǎn):采用特征匹配模式能明顯降低錯(cuò)報(bào)率,但漏報(bào)率隨之增加,攻擊特征的細(xì)微變化,會(huì)使得濫用檢測(cè)無(wú)能為力。
二:按數(shù)據(jù)源分為
1:基于主機(jī)的入侵檢測(cè)
??????基于主機(jī)的入侵檢測(cè)是入侵檢測(cè)的最初期形式,這種入侵檢測(cè)系統(tǒng)通常運(yùn)行在被檢測(cè)的主機(jī)或者服務(wù)器上,實(shí)時(shí)檢測(cè)檢測(cè)系統(tǒng)的運(yùn)行,通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)源,并輔之以主機(jī)上的其他信息,在此基礎(chǔ)上完成檢測(cè)攻擊行為的任務(wù)。特別的,從主機(jī)入侵檢測(cè)技術(shù)中還可以單獨(dú)分離出基于應(yīng)用的入侵檢測(cè)模型,這是特別針對(duì)于某個(gè)特定任務(wù)的應(yīng)用程序而設(shè)計(jì)的入侵檢測(cè)技術(shù),采用的輸入數(shù)據(jù)源是應(yīng)用程序的日志信息。
??????基于主機(jī)的入侵檢測(cè)悉尼型來(lái)源主要包括:
??????1):系統(tǒng)信息,幾乎所有的操作系統(tǒng)都提供一組命令,獲得本機(jī)當(dāng)前激活的進(jìn)程的狀態(tài)信息,他們直接檢查內(nèi)核程序的內(nèi)存信息。
????? 2):記賬,通常指由操作系統(tǒng)或操作員所執(zhí)行的特定操作,記錄計(jì)算機(jī)資源的使用情況,例如CPU占用時(shí)間,內(nèi)存,硬盤,網(wǎng)絡(luò)使用情況。在計(jì)算機(jī)未普及之前,記賬是為了向用戶收費(fèi)的。
?????? 3):系統(tǒng)日志,可分為操作系統(tǒng)日志和應(yīng)用程序日志兩部分。操作系統(tǒng)日志從不同方面記錄了系統(tǒng)中發(fā)生的事情,對(duì)于入侵檢測(cè)而言,具備重要的價(jià)值,當(dāng)一個(gè)進(jìn)程終止時(shí),系統(tǒng)內(nèi)核為每個(gè)進(jìn)程在進(jìn)程日志文件中寫入一條記錄。
?????? 4):C2安全審計(jì),記錄所有可能與安全性有關(guān)的發(fā)生在系統(tǒng)上的事情。
?????基于主機(jī)的入侵檢測(cè)能夠較為準(zhǔn)確的檢測(cè)到發(fā)生在主機(jī)系統(tǒng)高層的復(fù)雜攻擊行為,其中,許多發(fā)生在應(yīng)用進(jìn)程級(jí)別的攻擊行為是無(wú)法依靠基于網(wǎng)絡(luò)的入侵檢測(cè)來(lái)完成的,基于主機(jī)的入侵檢測(cè)系統(tǒng)巨頭檢測(cè)效率高,分析代價(jià)小,分析速度快的特點(diǎn),能夠迅速并準(zhǔn)確的定為入侵者,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步的分析,響應(yīng)。比如,一旦檢測(cè)到有入侵行為,我們可以立即使該用戶的賬號(hào)失效,用戶的進(jìn)程中斷。他可以幫助發(fā)現(xiàn)基于網(wǎng)絡(luò)的入侵檢測(cè)無(wú)法檢測(cè)的加密攻擊。基于主機(jī)的入侵檢測(cè)系統(tǒng)尤其對(duì)于獨(dú)立的服務(wù)器及應(yīng)用構(gòu)造簡(jiǎn)單,易于理解,也只有這種檢測(cè)方式能檢測(cè)出通過(guò)控制臺(tái)的入侵活動(dòng)。目前許多是基于主機(jī)日志分析的。
?????? 同時(shí),基于主機(jī)的入侵檢測(cè)系統(tǒng)也有若干顯而易見(jiàn)的缺點(diǎn),由于他一定程度上依賴于特定的操作系統(tǒng)平臺(tái),管理困難,必須按照每一臺(tái)機(jī)器的環(huán)境配置管理。同時(shí)主機(jī)的日志提供的信息有限,有的入侵手段和途徑不會(huì)在日志中有所反映,日志系統(tǒng)對(duì)網(wǎng)絡(luò)層的入侵行為無(wú)能為力。在數(shù)據(jù)提取的實(shí)時(shí)性,充分性,可靠性方面基于主機(jī)日志的入侵檢測(cè)系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。他通常無(wú)法對(duì)網(wǎng)絡(luò)環(huán)境下發(fā)生的大量攻擊行為作出及時(shí)的反應(yīng),他在所保護(hù)主機(jī)上運(yùn)行,這也會(huì)影響宿主機(jī)的運(yùn)行性能。
2:基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)
??????通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包,既抓包技術(shù)來(lái)獲取必要的數(shù)據(jù)來(lái)源,并通過(guò)協(xié)議分析,特征匹配,統(tǒng)計(jì)分析等手段當(dāng)前發(fā)生的攻擊行為。
?????? 基于網(wǎng)絡(luò)的入侵檢測(cè)的優(yōu)點(diǎn)是:一個(gè)安裝在網(wǎng)絡(luò)合適位置NIDS系統(tǒng)可以監(jiān)視一個(gè)很大范圍的網(wǎng)絡(luò),他的運(yùn)行絲毫不影響主機(jī)或者服務(wù)器的運(yùn)行效率,因?yàn)榛诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常采取獨(dú)立主機(jī)和被動(dòng)監(jiān)聽(tīng)的工作模式,他對(duì)網(wǎng)絡(luò)的性能影響也很小。NIDS能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)流量,并發(fā)現(xiàn)潛在的攻擊行為和作為迅速的響應(yīng),而使攻擊者難以發(fā)現(xiàn)自己已被監(jiān)視,另外,他的分析對(duì)象是網(wǎng)絡(luò)協(xié)議,一般沒(méi)有移植性的問(wèn)題。
?????? 同事基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要問(wèn)題是監(jiān)視數(shù)據(jù)量過(guò)于龐大并且他不結(jié)合操作系統(tǒng)特征來(lái)對(duì)網(wǎng)絡(luò)行為進(jìn)行準(zhǔn)確的判斷,在網(wǎng)絡(luò)通訊的高峰時(shí)刻,難以檢查所有數(shù)據(jù)包;如果網(wǎng)絡(luò)數(shù)據(jù)被加密,NIDS就不能掃描協(xié)議或內(nèi)容NIDS不能判斷一個(gè)攻擊是否已經(jīng)成功,對(duì)于漸進(jìn)式,合作式的攻擊難以防范。
常用的入侵檢測(cè)技術(shù)
1:基于統(tǒng)計(jì)分析技術(shù)的入侵檢測(cè)
??????他試圖建立一個(gè)對(duì)應(yīng)”正常活動(dòng)”的特征原型,然后把與所建立的特征原型中差別”很大”的所有行為都標(biāo)志為異常。顯而易見(jiàn),當(dāng)入侵集合與異常活動(dòng)集合不完全相等時(shí),一定會(huì)存在漏 報(bào)或者誤報(bào)的問(wèn)題,為了使漏報(bào)和誤報(bào)的概率較為符合實(shí)際需要,必須選擇一個(gè)區(qū)分異常事件的閥值,而調(diào)整和更新某些系統(tǒng)特征度量值的方法非常復(fù)雜,開(kāi)銷巨大,在實(shí)際情況下,試圖用邏輯方法明確劃分正常行為和異常行為兩個(gè)集合非常困難,統(tǒng)計(jì)手段的主要優(yōu)點(diǎn)是可以自適應(yīng)學(xué)習(xí)用戶的行為,主要問(wèn)題是其可能被入侵者逐漸訓(xùn)練以致最終將入侵事件誤認(rèn)為是正常,并且閥值設(shè)置不會(huì)當(dāng)導(dǎo)致大比例的誤報(bào)與漏報(bào),此外,由于統(tǒng)計(jì)量度對(duì)事件順序的不敏感性,事件間的關(guān)系會(huì)漏掉。
2:基于模式預(yù)測(cè)異常檢測(cè)
?????? 基于模式預(yù)測(cè)異常檢測(cè)方法的假設(shè)條件是:事件序列不是隨機(jī)的,而是遵循可辨別的模式,這種檢測(cè)方法的特點(diǎn)是考慮了事件的序列和相互關(guān)系。而基于時(shí)間的推理方法則利用時(shí)間規(guī)則識(shí)別用戶行為正常模式的特征,通過(guò)歸納學(xué)習(xí)產(chǎn)生這些規(guī)則集,能動(dòng)態(tài)的修改系統(tǒng)中的規(guī)則,使之具有高的預(yù)測(cè)性,準(zhǔn)確性和可信度。如果規(guī)則大部分時(shí)間是正確的,并能夠成功的運(yùn)用預(yù)測(cè)所觀察到的數(shù)據(jù),那么規(guī)則就具有高的可信度,根據(jù)觀察到用戶的行為,歸納產(chǎn)生出一套規(guī)則集來(lái)構(gòu)建用戶的輪廓框架,如果觀測(cè)到的事件序列匹配規(guī)則的左邊,而后續(xù)事件顯著的背離根據(jù)規(guī)則預(yù)測(cè)到的事件,那么系統(tǒng)就可以檢測(cè)出這種偏離,這就表明用戶操作是異常。如果能預(yù)測(cè)出不著呢剛才的后繼事件的片段,則一定程度上斷定用戶行為的異常性,這種方法的主要優(yōu)點(diǎn)是:
?????? 1):能較好地處理變化多樣的用戶行為,具有很強(qiáng)的時(shí)序模式。
?????? 2):能夠集中考察少數(shù)幾個(gè)相關(guān)的安全事件,而不是關(guān)注可疑的整個(gè)登錄會(huì)話過(guò)程
?????? 3):對(duì)發(fā)現(xiàn)檢測(cè)系統(tǒng)遭受攻擊,具有良好的靈敏度,因?yàn)楦鶕?jù)規(guī)則的蘊(yùn)含語(yǔ)義,在系統(tǒng)學(xué)習(xí)階段,能夠更容易的辨別出欺騙者訓(xùn)練系統(tǒng)的企圖
?????? 預(yù)測(cè)模式生成技術(shù)的問(wèn)題在于未被這些規(guī)則描述的入侵會(huì)被漏檢
3:基于神經(jīng)網(wǎng)絡(luò)技術(shù)的入侵檢測(cè)
??????神經(jīng)網(wǎng)絡(luò)用給定的n個(gè)動(dòng)作訓(xùn)練神經(jīng)網(wǎng)絡(luò)去預(yù)測(cè)用戶的下一步行為。訓(xùn)練結(jié)束之后,神經(jīng)網(wǎng)絡(luò)使用已出現(xiàn)在網(wǎng)中的用戶特征匹配實(shí)際的用戶行為,標(biāo)志統(tǒng)計(jì)差異較大的事件為異常或者非法。使用神經(jīng)網(wǎng)絡(luò)的優(yōu)點(diǎn)是可以很好的處理噪聲數(shù)據(jù),因?yàn)樗慌c用戶行為相關(guān),而不依賴于任何底層數(shù)據(jù)特性的統(tǒng)計(jì),但同樣有入侵者能夠在其徐誒階段訓(xùn)練網(wǎng)絡(luò)的問(wèn)題。
4:基于機(jī)器學(xué)習(xí)異常檢測(cè)
??????這種異常檢測(cè)方法通過(guò)機(jī)器學(xué)習(xí)實(shí)現(xiàn)入侵檢測(cè),其主要的方法有死記硬背式、監(jiān)督、學(xué)習(xí)、歸納學(xué)習(xí)、類比學(xué)習(xí)等。
5:基于數(shù)據(jù)挖掘異常檢測(cè)
??????數(shù)據(jù)挖掘,也稱知識(shí)發(fā)現(xiàn),通常記錄系統(tǒng)運(yùn)行日志得數(shù)據(jù)庫(kù)都非常大,如何從大量數(shù)據(jù)中“濃縮”出一個(gè)值或者一組值來(lái)表示對(duì)象得概貌,并以此進(jìn)行行為的異常分析和檢測(cè),這就是數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)的應(yīng)用,數(shù)據(jù)挖掘中一般會(huì)用到數(shù)據(jù)聚類技術(shù)。
6:專家系統(tǒng)
??????用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè),經(jīng)常時(shí)針對(duì)具有明顯特征的入侵行為,即所謂的規(guī)則,即時(shí)知識(shí),專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性,知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性和實(shí)時(shí)性。
?????? 基于專家系統(tǒng)無(wú)用入侵檢測(cè)方法是通過(guò)將安全專家的知識(shí)表示城IF-THEN規(guī)則形成專家知識(shí)庫(kù),然后,運(yùn)用推理算法進(jìn)行入侵檢測(cè),編碼規(guī)則說(shuō)明攻擊的必需條件作為IF的組成部分,當(dāng)規(guī)則的左邊的全部條件都滿足時(shí),規(guī)則的右邊的動(dòng)作才會(huì)執(zhí)行,入侵檢測(cè)專家系統(tǒng)應(yīng)用的實(shí)際問(wèn)題時(shí)要處理大量的數(shù)據(jù)和依賴于審計(jì)跟蹤的次序,其推理方式主要又以下兩種:
?????? 1):根據(jù)給定的數(shù)據(jù),應(yīng)用符號(hào)推理出入侵的發(fā)生情況,需要解決的主要問(wèn)題時(shí)處理序列數(shù)據(jù)和知識(shí)庫(kù)的維護(hù),不足之處就是只能檢測(cè)已知。
?????? 2):根絕其他的入侵證據(jù),進(jìn)行不確定性推理,這種推理的局限性就是推理證據(jù)的不精確和專家知識(shí)的不精確。
入侵檢測(cè)的技術(shù)關(guān)鍵
??????入侵檢測(cè)技術(shù)對(duì)于網(wǎng)絡(luò)安全方面來(lái)說(shuō)是一項(xiàng)重要的技術(shù)而提高入侵檢查的一項(xiàng)根本方法就是提高模式匹配效率,提高模式匹配的效率也就是等于提升了網(wǎng)絡(luò)安全。
一:模式匹配技術(shù)
1:模式匹配
??????入侵檢測(cè)系統(tǒng)對(duì)重要的網(wǎng)段進(jìn)行監(jiān)控,對(duì)網(wǎng)段中沒(méi)個(gè)數(shù)據(jù)包進(jìn)行模式匹配和分析。如果數(shù)據(jù)包內(nèi)容和入侵檢測(cè)系統(tǒng)規(guī)律相符,就會(huì)發(fā)出警報(bào),并切斷網(wǎng)絡(luò),由此可見(jiàn)模式匹配是影響入侵檢測(cè)的關(guān)鍵技術(shù)。
?????? 模式匹配定義為:設(shè)有給定的連哥哥串T和P,則在T中尋找P的子串的經(jīng)過(guò)成為模式匹配。T稱為正文,P稱為模式,通常T的長(zhǎng)度遠(yuǎn)遠(yuǎn)大于P的長(zhǎng)度,若在T中找到等于P的子串,則匹配成功,否則匹配失敗。
2:模式匹配的原理
??????在入侵檢測(cè)中,模式匹配可以理解為:給定入侵規(guī)則庫(kù)中的一個(gè)特定的模式字符串P,在網(wǎng)絡(luò)數(shù)據(jù)包T中進(jìn)行查找,確定P是否在T中出現(xiàn)。
3:模式匹配的規(guī)則
??????網(wǎng)絡(luò)入侵檢測(cè)以網(wǎng)絡(luò)中采集的數(shù)據(jù)包為數(shù)據(jù)源,使用模式匹配方法對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)從而發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的入侵事件,其中對(duì)數(shù)據(jù)包的檢測(cè)就是要在網(wǎng)絡(luò)數(shù)據(jù)包中檢測(cè)是否存在可以代表入侵行為或者入侵企圖的一些字符串,即查找出某些入侵規(guī)則中規(guī)則選項(xiàng)中所標(biāo)識(shí)的字符串,由于規(guī)則數(shù)較多,模式匹配過(guò)程是入侵檢測(cè)系統(tǒng)中時(shí)間小號(hào)最大的環(huán)節(jié)之一。如果沒(méi)有高效的模式匹配算法作為保障,檢測(cè)過(guò)程中就會(huì)產(chǎn)生超時(shí)溢出錯(cuò)誤,此時(shí)為了保證正常工作狀態(tài),系統(tǒng)將主動(dòng)的丟棄一些數(shù)據(jù)包,形成漏檢。
?????? 所以,一個(gè)好的高效的模式皮匹配算法對(duì)入侵檢測(cè)效率的提升至關(guān)重要。
二:模式匹配算法
參考:http://dsqiu.iteye.com/blog/1700312
案例說(shuō)明
1:介紹
??????以企業(yè)入侵日志為例,假設(shè)攻擊者要攻擊某個(gè)企業(yè),那么必需使用進(jìn)入到該企業(yè)的網(wǎng)絡(luò),已知該企業(yè)的網(wǎng)絡(luò)分為內(nèi)部用戶和訪客,每次登陸都會(huì)產(chǎn)生一系列的日志,那么如何根據(jù)這些wlan的訪問(wèn)日志來(lái)進(jìn)行登陸用戶的異常行為檢測(cè)呢?
2:分析
??????根據(jù)訪問(wèn)日志,我們并不能確定使用網(wǎng)絡(luò)的用戶哪個(gè)是進(jìn)行入侵的,即我們沒(méi)有一個(gè)明確的結(jié)果來(lái)判斷入侵者和非入侵者,那么這里我們可以采用的入侵檢測(cè)技術(shù)便可以是:基于統(tǒng)計(jì)的入侵檢測(cè)技術(shù)
3:實(shí)現(xiàn)
???????首先我們可以對(duì)訪問(wèn)者進(jìn)行比例劃分,例如9:1,利用90%的數(shù)據(jù)進(jìn)行構(gòu)建用戶肖像,統(tǒng)計(jì)分析出用戶肖像數(shù)據(jù),繼而利用10%的數(shù)據(jù)進(jìn)行數(shù)據(jù)測(cè)試,主要依據(jù)的便是90%數(shù)據(jù)構(gòu)建的用戶模型。統(tǒng)計(jì)處測(cè)試用戶產(chǎn)生的異常值。并可以根據(jù)實(shí)際情況設(shè)置一個(gè)閥值,來(lái)判定是否是入侵用戶。
??????其次,如果我們能明確知道哪些是入侵者,即數(shù)據(jù)產(chǎn)生方已經(jīng)積累了一定的入侵用戶,那么我們可以針對(duì)入侵者的入侵手段進(jìn)行建模,比如說(shuō),這些入侵者都喜歡在凌晨3點(diǎn),進(jìn)行網(wǎng)絡(luò)認(rèn)證,且他們?cè)诰€的時(shí)間較短,那么我們便可以收集這兩個(gè)特征作為入侵者的特征,繼而針對(duì)網(wǎng)絡(luò)認(rèn)證用戶進(jìn)行判斷。
??????當(dāng)然我們也可以結(jié)合其他的一些輔助手段進(jìn)行異常用戶的檢測(cè),比如說(shuō)黑名單,可以根據(jù)入侵者的行為模式構(gòu)建哥規(guī)則列表,即符合該規(guī)則庫(kù)中的任意一條規(guī)則幾位入侵者。
文章推薦:以企業(yè)入侵檢測(cè)日志分析為場(chǎng)景談大數(shù)據(jù)安全
個(gè)人微信公眾號(hào),歡迎關(guān)注
總結(jié)
以上是生活随笔為你收集整理的异常检测之浅谈入侵检测的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 网站增加打赏功能
- 下一篇: 自从装了windows神器,再也不用羡慕