入侵检测技术综之不可忽视的社会工程学

核心提示： 基于统计的检测规则，这种分析规则认为入侵行为应该符合统计规律，入侵检测技术综之不可忽视的社会工程学(9)，例如，系统可以认为一次密码尝试失败并不算是入侵行为， (3) 多元模型:操作模型的扩展,通过同时分析多个参数实现检测， (4) 马尔柯夫过程模型:将每种类型的事件定义为系统状态,用状态

基于统计的检测规则。这种分析规则认为入侵行为应该符合统计规律。例如，系统可以认为一次密码尝试失败并不算是入侵行为，因为的确可能是合法用户输入失误，但是如果在一分钟内有8次以上同样的操作就不可能完全是输入失误了，而可以认定是入侵行为。因此，组成分析策略的检测规则就是表示行为频度的阀值，通过检测出行为并统计其数量和频度就可以发现入侵。

这两种检测规则各有其适用范围，不同的入侵行为可能适应于不同的规则，但就系统实现而言，由于基于统计检测规则的入侵分析需要保存更多的检测状态和上下关系而需要消耗更多的系统处理能力和资源，实现难度相对较大。

近几年，为了改进入侵检测的分析技术，许多研究人员从各个方向入手，发展了一些新的分析方法，对于提高入侵检测系统的正确性、可适应性等起到了一定的推动作用。下面是几个不同的方向。

2.3.1统计学方法

统计模型常用于对异常行为的检测,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。目前提出了可用于入侵检测的5种统计模型包括：

(1) 操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很可能是口令尝试攻击。

(2) 方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。

(3) 多元模型:操作模型的扩展,通过同时分析多个参数实现检测。

(4) 马尔柯夫过程模型:将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,若对应于发生事件的状态矩阵中转移概率较小,则该事件可能是异常事件。

(5) 时间序列分析:将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。