異常偵測,也有人稱之為行為模式型入侵偵測(behavior-based intrusion detection),則是假設每一個人的行為模式有固定的軌跡可尋,因此當經過一段時間的學習及觀察過程之後,應該可以分析出使用者的”正常”或是”合法”活動。
一旦發現一些偏離平常活動的事件時,則意味著可能有被盜用或是潛在攻擊事件的可能,此時將會發出警報。也就是說,所有和過去學習得來的行為模式資訊不符的都會被考慮成可能的入侵意圖。經過適當設計,異常偵測可以更全面的涵蓋可能的攻擊事件,因此可能可以達到很好的完整度,也有機會偵測出利用新出現或未被公開的安全漏洞的入侵意
圖。同時,異常偵測也可以用來協助偵測表面上並不是攻擊動作的誤用(abuse)動作,例如盜用他人帳號這種看不出來是攻擊動作的事件。但是,”異常”的定義本身就是相當模糊的,人的行為也可能會隨著時間改變,因此所謂的行為模式學
習本身必須跟隨時間而調整,判斷異常的標準也不容易界定,定得過苛將會引發大量的誤判(False Positive),定得過鬆則易導致忽略某些入侵的意圖。由於這種實作上的困難,因此一般極少有完全依賴異常偵測方式的入侵偵測系統。
阿摩線上測驗
登入