基于異常檢測原理的入侵檢測方法有哪些

基于異常檢測原理的入侵檢測方法有以下這些：

• 基于統計分析技術的入侵檢測

  他試圖建立一個對應”正常活動”的特征原型，然后把與所建立的特征原型中差別”很大”的所有行為都標志為異常。顯而易見，當入侵集合與異常活動集合不完全相等時，一定會存在漏 報或者誤報的問題，為了使漏報和誤報的概率較為符合實際需要，必須選擇一個區分異常事件的閥值，而調整和更新某些系統特征度量值的方法非常復雜，開銷巨大，在實際情況下，試圖用邏輯方法明確劃分正常行為和異常行為兩個集合非常困難，統計手段的主要優點是可以自適應學習用戶的行為，主要問題是其可能被入侵者逐漸訓練以致最終將入侵事件誤認為是正常，并且閥值設置不會當導致大比例的誤報與漏報，此外，由于統計量度對事件順序的不敏感性，事件間的關系會漏掉。

• 基于模式預測異常檢測

  基于模式預測異常檢測方法的假設條件是：事件序列不是隨機的，而是遵循可辨別的模式，這種檢測方法的特點是考慮了事件的序列和相互關系。而基于時間的推理方法則利用時間規則識別用戶行為正常模式的特征，通過歸納學習產生這些規則集，能動態的修改系統中的規則，使之具有高的預測性，準確性和可信度。如果規則大部分時間是正確的，并能夠成功的運用預測所觀察到的數據，那么規則就具有高的可信度，根據觀察到用戶的行為，歸納產生出一套規則集來構建用戶的輪廓框架，如果觀測到的事件序列匹配規則的左邊，而后續事件顯著的背離根據規則預測到的事件，那么系統就可以檢測出這種偏離，這就表明用戶操作是異常。

• 基于神經網絡技術的入侵檢測

  神經網絡用給定的n個動作訓練神經網絡去預測用戶的下一步行為。訓練結束之后，神經網絡使用已出現在網中的用戶特征匹配實際的用戶行為，標志統計差異較大的事件為異常或者非法。使用神經網絡的優點是可以很好的處理噪聲數據，因為他只與用戶行為相關，而不依賴于任何底層數據特性的統計，但同樣有入侵者能夠在其徐誒階段訓練網絡的問題。

• 基于機器學習異常檢測

  這種異常檢測方法通過機器學習實現入侵檢測，其主要的方法有死記硬背式、監督、學習、歸納學習、類比學習等。

• 基于數據挖掘異常檢測

  數據挖掘，也稱知識發現，通常記錄系統運行日志得數據庫都非常大，如何從大量數據中“濃縮”出一個值或者一組值來表示對象得概貌，并以此進行行為的異常分析和檢測，這就是數據挖掘技術在入侵檢測系統的應用，數據挖掘中一般會用到數據聚類技術。

• 專家系統

  用專家系統對入侵進行檢測，經常時針對具有明顯特征的入侵行為，即所謂的規則，即時知識，專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性和實時性。基于專家系統無用入侵檢測方法是通過將安全專家的知識表示城IF-THEN規則形成專家知識庫，然后，運用推理算法進行入侵檢測，編碼規則說明攻擊的必需條件作為IF的組成部分，當規則的左邊的全部條件都滿足時，規則的右邊的動作才會執行，入侵檢測專家系統應用的實際問題時要處理。

回答所涉及的環境：聯想天逸510S、Windows 10。