在入侵检测系统中,有两种技术称为异常检测和行为检测。我正在从头开始实施 IDS,并正在检查一些签名,并且从某个站点将它们作为不同类型的检测方法提供。它们的基本区别是什么?在我看来,两者都是相同的,因此相同的签名应该能够检测到这类攻击。
站点上给出的异常检测示例:检测不属于正常配置文件的函数调用
站点上给出的行为检测示例:搜索 cmd.exe 的任何远程调用。
现在在我看来,两者都是相同的东西,即偏离正常行为,那么为什么它们被描述为不同的方法?
问问题
21817 次
3 回答
10
基于异常的检测和行为检测之间确实存在差异。在探讨这两者之前,我想指出入侵检测社区使用了两种额外的样式:基于误用(又名基于签名)和基于规范的检测,但这些与您的问题无关。
基于异常的检测
定义:一种两步方法,首先使用数据训练系统以建立某种正态性概念,然后使用已建立的真实数据配置文件来标记偏差。
示例:查看良性 URL 的一些特征,例如,它们的长度、字符分布等,以确定“正常” URL 的外观。使用这种正常性概念,您将标记与正常 URL 长度相差太远或其中包含太多异常字符的 URL。
优点:
- 可以检测潜在的各种新型攻击
缺点:
- 可能错过已知的攻击
- 如果它们不沿着观察到的维度突出,可能会错过新的攻击
- 高假阳性率(见基本率谬误)
- 训练数据的纯度(即没有攻击)
基于行为的检测
定义:寻找妥协的证据而不是攻击本身。
示例:监视 shell 历史记录unset HISTFILE,这是一个通常只有攻击者在破坏机器后才能输入的命令。
优点:
- 可以检测到范围广泛的新型攻击
- 低误报
- 部署和监控成本低廉
缺点:
- 事后,攻击已经发生
- 一旦知道就容易逃避
于 2012-04-11T03:57:30.923 回答
1
事实上,“基于异常的检测”和“基于行为的检测”并没有什么不同。行为检测通常可以在供应商的数据表中找到,它们指的是他们观察/提供给检测引擎的通信模式(及其功能)。
于 2012-02-11T08:43:17.447 回答
0
IDS 的两种主要类型是基于签名的和基于异常的。区别很简单:基于签名的 IDS 依赖于已知攻击的数据库,而基于异常的 IDS 观察网络的行为,分析正常行为,并且在出现任何异常的情况下,这些异常会导致它发出警报的偏差。
于 2017-08-29T20:28:24.287 回答