入侵檢測中基于知識異常識別的檢測方法有哪些

以下是幾種基于知識的異常識別的檢測方法：

• 基于審計的攻擊檢測技術

  這種檢測方法是通過對審計信息的綜合分析實現的，其基本思想是：根據用戶的歷史行為、先前的證據或模型，使用統計分析方法對用戶當前的行為進行檢測和判別，當發現可疑行為時，保持跟蹤并監視其行為，同時向系統安全員提交安全審計報告。

• 基于神經網絡的攻擊檢測技術

  由于用戶的行為十分復雜，要準確匹配一個用戶的歷史行為和當前的行為是相當困難的，這也是基于審計攻擊檢測的主要弱點。

  而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向，它能夠解決傳統的統計分析技術所面臨的若干問題，例如，建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。

• 基于專家系統的攻擊檢測技術

  所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。例如，當用戶連續三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。

• 基于模型推理的攻擊檢測技術

  攻擊者在入侵一個系統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統建立特定的攻擊腳本。

  使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大，甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫，它對已知攻擊可以詳細、準確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的，它雖無法準確判斷出攻擊的手段，但可以發現更廣泛的、甚至未知的攻擊行為。

回答所涉及的環境：聯想天逸510S、Windows 10。