异常检测和行为检测之间的区别

Question

在入侵检测系统中，有两种技术，称为异常检测和行为检测。我正在从头开始实施 IDS，并检查一些签名，并且从某些站点将它们作为不同类型的检测方法给出。它们的基本区别是什么？在我看来，两者是相同的，因此相同的签名应该能够检测到此类攻击。

网站上给出的异常检测示例：检测不属于正常配置文件一部分的函数

调用 网站上给出的行为检测示例：搜索 cmd.exe 的任何远程调用。

现在在我看来，两者都是相同的事情，即偏离正常行为，那么为什么它们被描述为不同的方法呢？

Answer 1

基于异常的检测和行为检测之间确实存在差异。在探讨两者之前，我想指出
入侵检测社区使用两种附加样式：基于误用（又名基于签名）和基于规范检测，但这些与您的问题无关。

基于异常的检测

定义：一种两步方法，首先使用数据训练系统以建立某种正常性概念，然后使用针对实际数据建立的配置文件来标记偏差。

示例：查看良性 URL 的一些特征，例如它们的长度、字符分布等，以找到“正常”URL 的定义。有了这种正常性的概念，您就可以标记那些与正常 URL 长度相差太远或其中包含太多异常字符的 URL。

优点：

• 可以检测到潜在的广泛的新攻击

缺点：

• 可能会错过已知的攻击
• 如果新的攻击没有沿着观察到的维度突出，则可能会错过新的攻击
• 高误报率（请参阅 基本率谬误）
• 训练数据的纯度（即不存在攻击）

基于行为的检测

定义：寻找< em>证据妥协而不是攻击本身。

示例：监视 unset HISTFILE 的 shell 历史记录，该命令通常只有攻击者在破坏计算机后才会输入。

优点：

• 可以检测到各种新颖的攻击
• 误报率低
• 部署和监控成本低廉

缺点：

• 事后攻击已经发生
• 已知后很容易逃避

Answer 2

事实上，“基于异常的检测”和“基于行为的检测”并没有什么不同。行为检测通常可以在供应商的数据表中找到，它们指的是他们观察/反馈给检测引擎的通信模式（及其功能）。

Answer 3

IDS 的两种主要类型是基于签名的和基于异常的。区别很简单：基于签名的 IDS 依赖于已知攻击的数据库，而基于异常的 IDS 则观察网络行为，分析正常行为，并且在出现任何异常的情况下，这些异常会导致其发出警报的偏差。

Answer 4

基于行为的检测不同于基于异常的检测。
基于行为的检测记录有关受监控实体的预期模式（例如用户登录）。

基于异常的检测根据对正常情况的观察，规定了预期模式的基线。