基于模式預測的異常檢測方法的前提條件是:事件序列不是隨機發生的而是服從某種可辨別的模式,其特點是考慮了事件序列之間的相互聯系。安全專家 Teng Chen 給出了一種基于時間的推理方法,利用時間規則識別用戶正常行為模式的特征。通過歸納學習產生這些規則集,并能動態地修改系統中的這些規則,使之具有較高的預測性、準確性和可信度。如果規則大部分時間是正確的,并能夠成功地用千預測所觀察到的數據,那么規則就具有較高的可信度。例如, TIM (Time-based Inductive Machine) 給出下述產生規則:
常見的異常檢測方法有:
基于統計的異常檢測方法就是利用數學統計理論技術,通過構建用戶或系統正常行為的特征輪廓。其中統計性特征輪廓通常由主體特征變量的頻度、均值、方差、被監控行為的屬性變量的統計概率分布以及偏差等統計量來描述。典型的系統主體特征有:系統的登錄與注銷時間,資源被占用的時間以及處理機、內存和外設的使用情況等。至千統計的抽樣周期可以從短到幾分鐘到長達幾個月甚至更長。基千統計性特征輪廓的異常性檢測器,對收集到的數據進行統計處理,并與描述主體正常行為的統計性特征輪廓進行比較,然后根據 者的偏差是否超過指定的門限來進一步判斷、處理。許多入侵檢測系統或系統原型都采用了這種統計模型。
基于模式預測的異常檢測方法的前提條件是:事件序列不是隨機發生的而是服從某種可辨別的模式,其特點是考慮了事件序列之間的相互聯系。安全專家 Teng Chen 給出了一種基于時間的推理方法,利用時間規則識別用戶正常行為模式的特征。通過歸納學習產生這些規則集,并能動態地修改系統中的這些規則,使之具有較高的預測性、準確性和可信度。如果規則大部分時間是正確的,并能夠成功地用千預測所觀察到的數據,那么規則就具有較高的可信度。例如, TIM (Time-based Inductive Machine) 給出下述產生規則:
(El!E2!E3)(E4 = 95%,£5 = 5%)
其中, El~E5 表示安全事件。上述規則說明,事件發生的順序是 El, E2, E3, E4, E5 。事件 E4 發生的概率是 95% ,事件 E5 發生的概率是 5% 。通過事件中的臨時關系, TIM 能夠產生更多的通用規則。根據觀察到的用戶行為,歸納產生出一套規則集,構成用戶的行為輪廓框架。如果觀測到的事件序列匹配規則的左邊,而后續的事件顯著地背離根據規則預測到的事件,那么系統就可以檢測出這種偏離,表明用戶操作異常。這種方法的主要優點有: $能較好地處理變化多樣的用戶行為,并具有很強的時序模式; @能夠集中考察少數幾個相關的安全事件,而不是關注可疑的整個登錄會話過程; @容易發現針對檢測系統的攻擊。
基于文本分類的異常檢測方法的基本原理是將程序的系統調用視為某個文檔中的”字”,而進程運行所產生的系統調用栠合就產生一個“文檔”。對千每個進程所產生的“文檔”,利用K-最近鄰聚類 CK-Nearest Neighbor) 文本分類算法,分析文檔的相似性,發現異常的系統調用,從而檢測入侵行為。
基于貝葉斯推理的異常檢測方法,是指在任意給定的時刻,測噩 Ai, A2, …An 變量值,推理判斷系統是否發生入侵行為。其中,每個變量 Ai 表示系統某一方面的特征,例如磁盤 1/O的活動數量、 系統中頁面出錯的數目等 假定變 Ai 可以取兩個值: 1表示異常,0表示正常。令I表示系統當前遭受的入侵攻擊。每個異常變量 Ai 的異常可靠性和敏感性分別用P(Ai = l|I)和 P(Ai =1| ? I) 表示。千是,在給定每個 Ai 值的條件下,由貝葉斯定理得出可信度為:
其中,要求給出 I和 ? I 的聯合概率分布。假定每個測量 Ai 僅與 I 相關,與其他的測量條件Ai(i ≠ j) 無 無關,則有:
從而得到:
因此,根據各種異常測量的值、入侵的先驗概率、入侵發生時每種測量得到的異常概率,就能夠判斷系統入侵的概率。但是為了保證檢測的準確性,還需要考查各變量 Ai 之間的獨立性。一種方法是通過相關性分析,確定各異常變量與入侵的關系。
回答所涉及的環境:聯想天逸510S、Windows 10。