异常检测方法综述1讲解.PDFVIP

异常检测方法综述1 张剑，龚俭 （东南大学 计算机科学与工程系，南京 2 10096 ） Summary of Anomaly-Detection Approaches Zhang Jian, Gong Jian (University of SouthEast Deparment of Computer Science and Engineering, Nan Jing 210096) 【Abstract 】 The approach of anomaly detection is a vigorously adaptive technique because it can detect unknown intrusions. The paper summarizes the advantage and the shortcoming of known anomaly-detection approaches in the past, which is based on the model of intrusion detection proposed by Dorothy Denning. Moreover, the development current of anomaly-detection is proposed on the above. 【Key】Intrusion Detection, Anomaly Detection, Misuse Detection, Data Mining, Neural Network, Bayesian Statistics 【摘要】： 异常检测方法是适应性较强的入侵检测技术，因为它能检测到未知的入侵方式。本文 在Dorothy Denning 提出的入侵检测模型的基础上，总结了以往主要的 常检测方法的优点 和缺点，并据此提出其发展趋势。 【关键字】入侵检测， 常检测，滥用检测，数据挖掘，神经网络，贝叶斯 计 一．引言 计算机联网技术的发展改变了以单机为主的计算模式，但是，网络入侵的风险性和机会 也相应地急剧增多。设计安全措施来防范未经授权访问系 的资源和数据，是当前网络安全 领域的一个十分重要而迫切的问题。目前，要想完全避免安全事件的发生并不太现实，网络 安全人员所能做到的只能是尽力发现和察觉入侵及入侵企图，以便采取有效的措施来堵塞漏 洞和修复系 ，这样的研究称为入侵检测。为此目的所研制的系 就称为入侵检测系 （intrusion detection system，简称IDS ） 入侵检测技术根据检测方法的不同分为两大类，一种是滥用检测方法，该方法通过对采 集的信息按已知的知识进行分析，发现正在发生和已经发生的入侵行为；另一种叫做 常检 测方法，它通 采集和 计发现网络或系 中的异常行为，然后按照某种决策算子来判断它 是否入侵。滥用检测方法的误报率较低，但它不能检测出未知的攻击方式；而 常检测方法 能检测出未知的攻击方式，但其误报率较高。通常将两种方法结合起来能够扬长避短，从而 取得比较好的检测效果。 通常衡量一种检测方法的检测效果有两个指标，一个是漏检率 （false negative rate ），它 是不能检测到的入侵行为的比率，该指标越低，表明检测效果越好；另一个是误检率 （false positive rate ），它是误将正常行为判为入侵行为的比率，该指标越低，表明检测效果越好。 二．Dorothy Denning 的入侵检测模型 入侵检测技术模型最早由Dorothy Denning[1]提出，如图1 所示。目前，检测技术及其 体系均是在此基础上的扩展和细化。 1 本文受国家自然科学基金项资助 Audit Trail/Network Packets/Application Trails Event generator assert new rules