趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
入侵檢測5種統計模型為:
操作模型:該模型假設異常可通過測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統計平均得到,舉例來說,在短時間內多次失敗的登錄很有可能是嘗試口令攻擊;
方差:計算參數的方差并設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常;
多元模型:即操作模型的擴展,它通過同時分析多個參數實現檢測;
馬爾柯夫過程模型:即將每種類型的事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化,當一個事件發生時,如果在狀態矩陣中該轉移的概率較小則該可能是異常事件;
時間序列分析:即將事件計數與資源耗用根據時間排成序列,如果一個新事件在該時間發生的概率較低,則該事件可能是入侵。
統計方法的最大優點是它可以“學習”用戶的使用習慣,從而具有較高檢出率與可用性。但是它的“學習”能力有時也會給入侵者以機會,因為入侵者可以通過逐步“訓練”使入侵事件符合正常操作的統計規律,從而透過入侵檢測系統。
推薦文章
