對於入侵檢測,貝葉斯推理異常檢測方法與模式預測異常檢測方法的區別?
04-09
**貝葉斯推理異常檢測方法是根據各種異常測量的值、入侵的先驗概率及入侵發生時測量到的每種異常概率來計算判斷入侵的概率。而模式預測異常檢測方法的假設條件是事件序列不是隨機的而是遵循可辨別的模式。**![](http://b.hiphotos.baidu.com/zhidao/wh%3D450%2C600/sign=fb4b4e57d0f9d72a17311819e11a0402/728da9773912b31b5156e7418f18367adab4e1a4.jpg)##貝葉斯推理異常檢測方法
推薦閱讀:
貝葉斯推理異常檢測方法是通過在任意給定的時刻,測量A1,A2,...,An 變數值推理判斷系統是否有入侵事件發生。其中每個Ai變數表示系統不同方面的特徵(如磁碟I/O的活動數量,或者系統中頁面出錯的數)。假定Ai 變數 具有兩個值,1表示異常,0表示正常。I表示系統當前遭受的入侵攻擊。每個異常變數Ai 的異常可靠性和敏感性分別表示為
![](http://a.hiphotos.baidu.com/zhidao/wh%3D450%2C600/sign=719f157bd454564ee530ec3d86eeb0b4/d439b6003af33a87d19b2972cf5c10385243b5e7.jpg)則在給定每個Ai的值的條件下,可由貝葉斯定理得出I的可信度: ![](http://f.hiphotos.baidu.com/zhidao/wh%3D450%2C600/sign=5cadafefd9a20cf446c5f6db43396700/10dfa9ec8a13632767ffea5b988fa0ec08fac743.jpg)其中要求給出I和?I 的聯合概率分布。又假定每個測量Ai僅與I相關,且同其它的測量條Aj 無關,i!=j,則有:
![](http://h.hiphotos.baidu.com/zhidao/wh%3D450%2C600/sign=fa6a2b8bdc39b6004d9b07b3dc60191c/b21c8701a18b87d6c8db83770e0828381f30fd39.jpg)從而得到:![](http://e.hiphotos.baidu.com/zhidao/wh%3D450%2C600/sign=55b56ea88b025aafd36776cfcedd8752/9d82d158ccbf6c8104ac0480b53eb13533fa403a.jpg)因此,可根據各種異常測量的值、入侵的先驗概率及入侵發生時測量到的每種異常概率來計算判斷入侵的概率。但是為了檢測的準確性,還要必須考慮各測量Ai之間的獨立性。最常用的一種方法是通過相關性分析,確定各異常變數同入侵的關係。##模式預測異常檢測方法
模式預測異常檢測方法的假設條件是事件序列不是隨機的而是遵循可辨別的模式。這種檢測方法的特點是考慮了事件的序列及其相互聯繫。Teng和Chen給出基於時間的推理方法,利用時間規則識別用戶行為正常模式的特徵。通過歸納學習產生這些規則集,並能動態地修改系統中的這些規則,使之具有高的預測性、準確性和可信度。如果規則在大部分時間是正確的,並能夠成功地運用預測所觀察到的數據,那麼規則就具有高的可信度。TIM給出了一條產生規則:![](http://h.hiphotos.baidu.com/zhidao/wh%3D450%2C600/sign=9e99b9dec0177f3e1061f40945ff17f1/caef76094b36acaf618cbd9475d98d1001e99c6d.jpg)其中E1-E5表示安全事件。這條規則是根據前面觀測到事件E1模式後面是E2,E3,E4,E5。觀測到E4事件的概率是95%,而事件E5的概率是5%。通過事件當中的臨時關係,TIM能夠產生更多通用的規則。根據觀察到用戶的行為,歸納產生出一套規則集來構成用戶的輪廓框架。如果觀測到的事件序列匹配規則的左邊,而後續的事件顯著地背離根據規則預測到的事件,那麼系統就可以檢測出這種偏離,這就表明用戶操作是異常。由於不可識別行為模式能匹配任何規則的左邊,從而導致不可識別行為模式作為異常判斷,這是該方法的主要弱點。相反,如果能預測出不正常的後繼事件的片段,則一定程度上可斷定用戶行為的異常性。這種方法的主要優點是:
- 能夠較好地處理變化多樣的用戶行為,並具有很強的時序模式。- 能夠集中考察少數幾個相關的安全事件,而不是關注可疑的整個登錄會話過程。- 對發現檢測系統遭受攻擊,具有良好的靈敏度。因為根據規則的蘊涵語義,在系統學習階段 ,能夠更容易地辨別出欺騙者訓練系統企圖。推薦閱讀: