入侵检测综述(三)

<正> 异常检测 异常检测是目前入侵检测技术的主要研究方向,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式。异常检测的关键问题在于正常使用模式的建立以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。模式(Profiles)通常使用一组系统的度量(metrics)来定义。所谓度量,则是系统/用户行为在特定方面的衡量标准,每个度量都对应于一个门限值(threshold)或相关的变动范围。 异常检测基于这样一个假设:无论是程序的执行还是用户的行为,在系统特性上都呈现出紧密的相关性。例如,某些特权程序总是访问特定目录下的系统文件,程序员则经常编辑和编译C程序,这些带有强一致性的行为特征正是我们希望进行统计的行为模式。 对于异常检测系统来说,系统/用户的正常模式应该