【正文】 與資源耗用根據(jù)時間排成序列 ,如果一個新事件在該時間發(fā)生的概率較低 ,則該事件可能是入侵。 l 多元模型：操作模型的擴展 ,通過同時分析多個參數(shù)實現(xiàn)檢測 。 目前 ， 可用于入侵檢測的統(tǒng)計模型有 5種： l 操作模型：該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標相比較得到 ,固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到 ,舉例來說 ,在短時間內(nèi)的多次失敗的登錄很可能是口令嘗試攻擊 。 因此 ， 組成分析策略的檢測規(guī)則就是表示行為頻度的閥值 ， 通過檢測出行為并統(tǒng)計其數(shù)量和頻度就可以發(fā)現(xiàn)入侵 。 3. 基于統(tǒng)計學方法的入侵檢測系統(tǒng) 基于統(tǒng)計的檢測規(guī)則認為入侵行為應(yīng)該符合統(tǒng)計規(guī)律 。 基于偽裝的入侵檢測方法是通過在網(wǎng)絡(luò)主機上構(gòu)造或設(shè)置一些虛假的信息，并將這些信息暴露在網(wǎng)上，若非法入侵者對這些信息感興趣，反復訪問這些數(shù)據(jù)，或反復打開相關(guān)的文件，或下載這些文件，就可以斷定系統(tǒng)已受到入侵攻擊，并可確定當前登錄者就是非法入侵者。 事實上 ， 基于生物免疫系統(tǒng)的入侵檢測方法是將異常入侵檢測方法與誤用入侵檢測方法進行有機的結(jié)合 。 以人為例 ， 若某人不幸感染了結(jié)核病 ， 治痊后 ， 他就對結(jié)核病菌產(chǎn)生了抗體 ， 以后就再也不會感染結(jié)核病了 。 異常檢測對具體系統(tǒng)的依賴性相對較??；而誤用檢測系統(tǒng)對具體的系統(tǒng)依賴性很強，移植性不好。 異常檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵行為的發(fā)生 ， 而不依賴于具體行為是否出現(xiàn)來檢測；而誤用檢測系統(tǒng)則大多是通過對一些具體的行為的判斷和推理 ， 從而檢測出入侵行為 。 (5)基于模型的誤用入侵檢測方法 基于模型的誤用入侵檢測方法是通過建立誤用證據(jù)模型，根據(jù)證據(jù)推理來作出誤用發(fā)生判斷結(jié)論。 攻擊模式的狀態(tài)對應(yīng)于系統(tǒng)的狀態(tài) ， 并且具有遷移到另外狀態(tài)的特性 ， 然后通過弧線連續(xù)的狀態(tài)連接起來表示狀態(tài)改變所需要的事件 。 其推理方法有兩種： l 根據(jù)給定的數(shù)據(jù) ， 應(yīng)用符號推理出入侵行為的發(fā)生； l 根據(jù)其他的入侵證據(jù) ， 進行不確定性的推理 。 當規(guī)則的左邊的條件全都滿足時 ， 規(guī)則右邊的動作才會執(zhí)行 。 基于專家系統(tǒng)的誤用入侵檢測系統(tǒng)的典型模型是 CLIPS模型 ，在該模型中 ， 將入侵知識進行編碼表示成 ifthen規(guī)則 ， 并根據(jù)相應(yīng)的審計跟蹤事件的斷言事實 。 通常，先驗概率 P（ Intrusion）是由網(wǎng)絡(luò)安全管理員事先給出的，而通過對入侵報告數(shù)據(jù)的統(tǒng)計分析可得到 P（ ES|Intrusion）和 P（ ES| ┐ Intrusion）。 所謂的 “ 先驗概率 ” 是用概率來描述人們事先對所研究對象的發(fā)生概率的估算 ， 即是根據(jù)古典概率的定義 ， 用數(shù)學分析進行計算得到的概率 。 這種方法的依據(jù)是根據(jù)貝葉斯定理 （ Bayesian principles） 進行推理檢測入侵行為 。 誤用檢測模型常用的檢測方法有：基于條件概率誤用入侵檢測方法 、 基于專家系統(tǒng)誤用入侵檢測方法 、 基于狀態(tài)遷移分析誤用入侵檢測方法 、 基于鍵盤監(jiān)控誤用入侵檢測方法 、 基于模型誤用入侵檢測方法 。由于不同的操作系統(tǒng)的實現(xiàn)機制不同，對其攻擊的方法也不盡相同，很難定義出統(tǒng)一的模式庫。也就是說漏警率比較高。而且這種技術(shù)比較成熟，國際上一些頂尖的入侵檢測系統(tǒng)都采用該方法，該方法它也存在一些缺點： (1)不能檢測未知的入侵行為。 誤用檢測是通過將收集到的信息與已知的攻擊簽名模式庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。 由于大部分的入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷進行攻擊的 ， 那么通過分析攻擊過程的特征 、 條件 、 排列以及事件間的關(guān)系 ， 就可具體描述入侵行為的跡象 。 誤用檢測是根據(jù)攻擊簽名來判斷入侵的 ， 如何用特定的模式語言來表示這種攻擊行為 ， 是該方法的關(guān)鍵所在 。其原理是：首先對已知的攻擊方法進行攻擊簽名 (攻擊簽名是指用一種特定的方式來表示已知的攻擊模式 )表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。 誤用檢測，也被稱為基于知識的檢測。 對于誤用檢測系統(tǒng)來說 ， 最重要的技術(shù)有： l 如何全面描述攻擊的特征 ， 覆蓋在此基礎(chǔ)上的變種方式 。 基于誤用的入侵檢測系統(tǒng)通過使用某種模式或者信號標識表示攻擊，進而發(fā)現(xiàn)相同的攻擊。 根據(jù)對誤用概念的這種理解 ， 可以定義基于誤用的入侵檢測技術(shù)的含義：誤用檢測技術(shù)主要是通過某種方式預(yù)先定義入侵行為 ，然后監(jiān)視系統(tǒng)的運行 ， 并從中找出符合預(yù)先定義規(guī)則的入侵行為 。 誤用檢測模型 在介紹基于誤用的入侵檢測的概念之前 ， 有必要對誤用的概念做一個簡單的介紹 ?；跀?shù)據(jù)采掘技術(shù)的異常入侵檢測通常使用的是 KDD（ Knowledge Discovery in Databases）算法，該算法就是從數(shù)據(jù)庫中自動提取有用的信息（知識）。然后 ， 應(yīng)用 IBL的學習技術(shù)和一種新的基于序列的分類方法 ， 從而發(fā)現(xiàn)異常類型事件 ， 以此進行入侵行為的檢測 。 (7)基于貝葉斯聚類的異常檢測方法 基于貝葉斯聚類的異常檢測方法是通過在數(shù)據(jù)中發(fā)現(xiàn)不同類別的數(shù)據(jù)集合 ，這些類反映出了基本的因果關(guān)系 ， 以此就可以區(qū)分異常用戶類 ， 進而推斷入侵事件發(fā)生來檢測異常入侵的行為 。網(wǎng)絡(luò)的輸入層是用戶當前輸入的命令和已執(zhí)行過的 N條命令，神經(jīng)網(wǎng)絡(luò)就是利用用戶使用過的 N條命令來預(yù)測用戶可能使用的下一條命令。 通過歸納學習產(chǎn)生這些規(guī)則集 ， 并能動態(tài)地修改系統(tǒng)中的這些規(guī)則 ， 使之具有高的預(yù)測性 、 準確性和可信度 。 這種檢測方法的主要特點是考慮事件的序列及其相互聯(lián)系 。 (4)基于貝葉斯網(wǎng)絡(luò)的異常檢測方法 基于貝葉斯網(wǎng)絡(luò)的異常檢測方法是通過建立起異常入侵檢測的貝葉斯網(wǎng)絡(luò)，然后將其用作分析異常測量的結(jié)果。 (3)基于貝葉斯推理的異常檢測方法 基于貝葉斯 （ Bayesian） 推理異常檢測方法是通過在任意的時刻 ， 測量 A1， A2， ? ， An變量值推理判斷系統(tǒng)是否有入侵事件的發(fā)生 。 常見的幾種異常測量值的測量類型如下： l 活動強度測量：用以描述活動的處理速度； l 審計記錄分布測量：用以描述最近審計記錄中所有活動類型的分布狀況； l 類型測量：用以描述特定的活動在各種類型的分布狀況； l順序測量：用以描述活動的輸出結(jié)果。用 S1，S2， … ， Sn分別表示框架中的變量 M1， M2， … Mn的異常測量值，這些值表明了異常程度， Si的值越高，則 Mi的異常性就越大。 通過比較當前的框架與事先存儲的框架來判斷異常行為 ， 從而檢測出網(wǎng)絡(luò)的入侵行為 。 (1)基于統(tǒng)計分析的異常檢測方法 基于統(tǒng)計分析的異常檢測方法是根據(jù)異常檢測器觀察主體的活動情況 ，隨之產(chǎn)生能刻畫這些活動的行為框架 。 此外 ， 由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓 ， 這樣所需的計算量很大 ， 對系統(tǒng)的處理性能要求會很高 。 從異常檢測的原理我們可以看出 ， 該方法的技術(shù)難點在于： “ 正常 ” 行為特征輪廓的確定 、 特征量的選取 、 特征輪廓的更新 。 由于異常檢測是先建立正常的特征輪廓作為比較的參考基準 ， 這個參考基準即參考閾值的選定是非常關(guān)鍵的 ， 閾值定的過大 ， 那漏警率會很高；閾值定的過小 ， 則虛警率就會提高 。 (2)參考閾值的選定 因為在實際的網(wǎng)絡(luò)環(huán)境下 ， 入侵行為和異常行為往往不是一對一的等價關(guān)系 ， 經(jīng)常發(fā)生這樣的異常情況：如某一行為是異常行為 ， 而它并不是入侵行為；同樣存在某一行為是入侵行為 ， 而它卻并不是異常行為的情況 。 (1)特征量的選擇 異常檢測首先是要建立系統(tǒng)或用戶的 “ 正常 ” 行為特征輪廓 ， 這就要求在建立正常模型時 ， 選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征 ， 又能使模型最優(yōu)化 ， 即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征 。其基本原理是：首先建立系統(tǒng)或用戶的 “ 正常 ” 行為特征輪廓，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。 異常檢測模型 異常檢測，也被稱為基于行為的檢測。 非法入侵者活動的一個典型例子是 ， 當其獲得系統(tǒng)的訪問權(quán)時 ， 通常會立即查看當前有哪些用