来源:《网络安全技术与应用》2003年第03期  作者:连一峰
选择字号

入侵检测综述(三)

收藏本文  分享

异常检测 异常检测是目前入侵检测技术的主要研究方向,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式。异常检测的关键问题在于正常使用模式的建立以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。模式(Profiles)通常使用一组系统的度量(metrics)来定义。所谓度量,则是系统/用户行为在特定方面的衡量标准,每个度量都对应于一个门限值(threshold)或相关的变动范围。 异常检测基于这样一个假设:无论是程序的执行还是用户的行为,在系统特性上都呈现出紧密的相关性。例如,某些特权程序总是访问特定目录下的系统文件,程序员则经常编辑和编译C程序,这些带有强一致性的行为特征正是我们希望进行统计的行为模式。 对于异常检测系统来说,系统/用户的正常模式应该(本文共计3页)......[继续阅读本文]

下载阅读本文订阅本刊

图书推荐

    相关文章推荐

    看看这些杂志对你有没有帮助...

    更多杂志>>