异常检测与行为检测的区别

Question

在入侵检测系统中，有两种技术称为异常检测和行为检测。我正在从头开始实现IDS，并检查一些签名和来自一些网站的不同类型的检测方法。它们之间的基本区别是什么？在我看来，两者都是相同的，因此相同的签名应该能够检测到这类攻击。

网站上给出的异常检测示例:检测不是正常配置文件一部分的函数调用

网站上给出的行为检测示例:搜索cmd.exe的任何远程调用。

现在，在我看来，两者都是相同的东西，即偏离正常行为，那么为什么它们被描述为不同的方法呢？

Answer 1

基于异常的检测和基于行为的检测确实是有区别的。在探讨这两种风格之前，我想指出入侵检测社区使用了两种额外的风格:基于误用的(也称为.基于签名)和specification-based检测，但这些与您的问题无关。

基于异常的检测

定义：一种分两步进行的方法，首先用数据训练系统，以建立一些正态概念，然后使用实际数据上建立的配置文件来标记偏差。

示例：查看良性URL的一些特征，例如，它们的长度、字符分布等，以找到定义一个“正常”URL的样子。有了这种常态概念，您就可以标记偏离正常URL长度太远的URL或其中包含太多异常字符的URL。

优点：

• 可以检测到潜在的范围广泛的新型攻击

缺点：

训练数据可能会错过已知的攻击，如果新的攻击不符合观察到的dimension

• High fals阳性率(请参阅the base rate fallacy)

• Purity of

)，则可能会错过新的攻击

基于行为的检测

定义：寻找妥协的证据，而不是攻击本身。

示例：监视unset HISTFILE的外壳历史记录，这是一个通常只有攻击者在危害机器之后才会输入的命令。

优点：

• 可以检测到广泛的新型攻击
• 低误码率

部署和监控成本低廉

缺点：

• 事后，攻击已经occurred
• Easy，以逃避曾经已知的

Answer 2

事实上，“基于异常的检测”和“基于行为的检测”并没有什么不同。行为检测通常在供应商的数据表中找到，它们指的是他们观察/提供给检测引擎的通信模式(及其功能)。

Answer 3

IDS的两种主要类型是基于特征码和基于异常。区别很简单:基于特征的IDS依赖于已知攻击的数据库，而基于异常的IDS观察网络的行为，分析正常行为，并且在发生任何异常的情况下，这些异常会导致偏差，并发出警报。