统计异常检测分为两类:阈值检测和基于轮廓的检测。
阈值检测与一段时间间隔内特殊事件发生的次数有关。如果发生次数超过期望的合理次数,则认为可能存在入侵。即使面对并不老练的攻击者,阈值分析本身也显得粗糙且效率不高。阈值和时间间隔必须事先选定。因为用户是不断变化的,阈值检测很可能导致大量误报或漏报。只有和其他高级技术共同使用,阈值检测才会有效。
基于轮廓的异常检测可以归纳出每个用户过去行为的特征或用户组过去行为的特征,用于发现有重大偏差的行为。轮廓可能包含多个参数集,所以只发生一个参数的偏差不足以产生警告。
统计异常检测基于对审计记录的分析。审计记录以两种方法作为入侵检测函数的输入。第一种,设计者需制定度量用户行为的量化机制。一段时间内对审计记录的分析可作为一般用户的活动轮廓。这样,审计记录就可用于定义典型的行为。第二种,当前审计记录作为入侵检测的输入,即入侵检测模型分析当前审计记录,判定当前行为与典型行为的偏差。
可用于基于轮廓入侵检测的度量机制如下:
计数器: 一个非负整数。如果没有管理员的干预,它只能增加,不能减少。通常,某些事件类型的发生次数在一段时间内不发生变化。例如,一小时内一个用户登录的次数,一个用户会话期间执行命令的次数,一分钟内口令验证失败的次数。
标准值:一个可增可减的非负整数。通常,标准值用于衡量某些实体的当前值。例如,分配给用户态应用的逻辑连接次数和用户态进程发出消息的数目。
间隔计时器:指两个相关事件相继发生的时间间隔。例如,连续两次成功登录到一个账号的时间间隔。
资源利用:一定时间内资源消耗的数量。例如,一次用户会话中打印的页数,程序执行消耗的总时间。(www.daowen.com)
利用以上度量机制,可以使用多种方法判定当前活动是否可接受。这些方法可以是均值和标准差、多变量、马尔柯夫过程、时间序列、可操作性等。
最简单的统计测试是测量一段历史时期内一个参数的均值和标准差。这可以反映一般行为和行为变化。均值和标准差可广泛用于计数器、计时器、资源利用。该方法只能用于粗糙的入侵检测判断。
多变量模型建立在两个或多个变量的关联之上。这种关联可用于更准确地定义入侵者行为(例如,处理器时间和资源使用,登录频率和会话结束时间)。
马尔柯夫过程模型用于确定各种状态的转化概率。例如,检查两个命令相继发生的概率。
时间序列模型着眼于时间间隔,查找发生过快或过慢的事件序列。有多种统计测试方法可用于提取异常行为的时间特征。
最后一种方法是操作模型,它用于判断什么是异常的,而不是自动分析以前的审计记录。一般地,确定一个范围,超出此范围的被认为是入侵者。此方法适用于可由特定类型活动推导出来入侵者行为的情况。例如,短时间内有大量的登录企图,则表明存在入侵。
利用统计方法的最大优点在于不用预先具备安全漏洞方面的知识。检测程序首先学习什么是正常行为,然后再去查找行为的偏差。此方法与系统特征和脆弱性无关。因此,它可广泛用于多种系统。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。