入侵检测机制比较
比较现有的入侵检测系统的检测机制,分析面临的挑战.审计的控制,为了作了入侵检测的决策,需要什么样的审计数据,怎样足够和有效的收集、存储、切割、传输审计数据.是收集用户命令级别数据还是收集系统呼叫级别数据,特征的确定,什么时候收集数据,审计数据精简,降低审计数据的维数,审计记录不包含检测的要求的格式,攻击难以格式化.数值特征与类别特征之间的互相转换.规则机制检测入侵的挑战是规则的信任度级别的指定,对噪音数据敏感,当数据量大且特征维数高时,规则机制的性能急剧下降.统计模型检测入侵的挑战;特征间的协方差使计算量增大.侧面检测入侵的挑战:假报警随着入侵事件的增多而增大,假报警率与入侵事件之间的平衡,系统启动或加进新的用户时参数的初始化,入侵者可以逐渐改变行为,而使系统不能检测到.签名检测入侵只能识别已知的攻击,但不能识别新的攻击.事件序列检测入侵不能利用领域知识,计算量大.
入侵检测 审计 数据预处理
莫纯欢 杨德礼
大连理工大学管理学院
国内会议
北京
中文
414-418
2003-11-01(万方平台首次上网日期,不代表论文的发表时间)