lAn用检测通过对确知决策规则编程实现,可以分为以下四种:
(1)状态建模:它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间,所有状态都存在,则判定为恶意入侵。状态建模从本质上来讲是时间序列模型,可以再
细分为状态转换和Petri网,前者将入侵行为的所有状态形成一个简单的遍历链,后者将所有状态构成一个更广义的树形结构的Petri网。
(2)专家系统:它可以在给定入侵行为描述规则的情况下,对系统的安全状态进行推理。一般情况下,专家系统的检测能力强大,灵活X也很高,但计算成本较高,通常以降低
执行速度为代价。
(3)串匹配:它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活X欠差,但易于理解,目前有很多高效的算法,其执行速度很快。
(4)基于简单规则:类似于专家系统,但相对简单一些,故执行速度快。
lAn用检测IDS分类如表2所示。
3.混合检测
近几年来,混合检测日益受到人们的重视。这类检测在做出决策之前,既分析系统的正常行为,同时还观察可疑的入侵行为,所以判断更全面、准确、可靠。它通常根据系统的正
常数据流背景来检测入侵行为,故而也有人称其为“启发式特征检测”。
WenkeLee从数据挖掘得到启示,开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型,而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常
行为,发现描述系统特征的一致使用模式,然后再形成对异常和lAn用都适用的检测模型。
内容未完,下一页继续阅读