침입 탐지 시스템 탐지 방법

패턴 예측에 기반한 감지 방법: 이벤트 시퀀스는 무작위로 발생하는 것이 아니라 패턴 예측에 기반한 예외 감지 방법의 가정인 인식 가능한 패턴을 따릅니다. 이벤트 시퀀스와 그 상호 관계를 고려하여 몇 가지 관련 보안 이벤트에만 초점을 맞추는 것이 특징이다. 이는 이 감지 방법의 가장 큰 장점이다. 통계 기반 이상 탐지 방법: 사용자 객체의 활성 정도에 따라 각 사용자에 대한 피쳐 프로파일 테이블을 설정하고 현재 피쳐를 이전에 설정된 피쳐와 비교하여 현재 동작의 예외를 확인합니다. 사용자 프로필 테이블은 감사 레코드에 따라 지속적으로 업데이트되어야 하며, 일정 기간 동안의 경험 값 또는 통계를 기반으로 하는 많은 측정 지표를 보호합니다. 기계 학습 탐지 방법 기반: 이산 데이터의 임시 시퀀스 학습 네트워크, 시스템 및 개인의 동작 특성을 기반으로 유사성을 기반으로 새로운 시퀀스 유사성 계산을 통해 원본 데이터 (예: 이산 이벤트 흐름 및 무질서한 레코드) 를 측정 가능한 공간으로 변환하는 샘플 학습 방법 IBL 이 제시되었습니다. 그런 다음 IBL 학습 기술과 새로운 시퀀스 기반 분류 방법을 사용하여 비정상적인 이벤트를 발견하고 침입 행위를 탐지합니다. 여기서 구성원 분류의 확률은 임계값 선택에 의해 결정됩니다.

데이터 마이닝 감지 방법: 데이터 마이닝의 목적은 대량 데이터에서 유용한 데이터 정보를 추출하는 것입니다. 네트워크에는 많은 감사 레코드가 있으며 그 중 대부분은 파일로 저장됩니다. 수동으로 레코드의 예외를 발견하는 것만으로는 충분하지 않습니다. 따라서 침입 탐지에 데이터 마이닝 기술을 적용하면 감사 데이터에서 유용한 지식을 추출한 다음 이러한 지식 영역을 사용하여 비정상적인 침입과 알려진 침입을 감지할 수 있습니다. 채택된 방법은 KDD 알고리즘으로 대량의 데이터와 데이터 연관 분석을 잘 처리할 수 있다는 장점이 있지만 실시간 성능이 떨어집니다.

적용 모드 기반 예외 감지 방법: 이 방법은 서비스 요청 유형, 서비스 요청 길이 및 서비스 요청 패킷 크기 분포를 기준으로 네트워크 서비스에 대한 예외 값을 계산합니다. 실시간으로 계산된 예외 값을 훈련된 임계값과 비교하면 비정상적인 동작을 발견할 수 있다.

텍스트 분류에 기반한 예외 감지 방법: 시스템 생성 프로세스 호출 세트를 문서로 변환합니다. K 이웃 클러스터 텍스트 분류 알고리즘을 사용하여 문서의 유사성을 계산합니다. 침입 탐지 시스템의 오용에서 일반적으로 사용되는 감지 방법은 패턴 매칭 방법입니다. 침입 탐지 기술에서 일반적으로 사용되는 방법입니다. 수집된 정보를 네트워크 침입 및 시스템 오용 패턴 데이터베이스의 알려진 정보와 비교하여 보안 정책 위반을 파악합니다. 패턴 일치 방법을 사용하면 시스템 부담을 크게 줄일 수 있으며 탐지율과 정확도가 높습니다. 전문가 시스템법: 이 접근법의 아이디어는 보안 전문가의 지식을 규칙 지식 기반으로 표현한 다음 추론 알고리즘을 사용하여 침입을 감지하는 것입니다. 주로 피쳐 침입 행위에 중점을 둡니다. 상태 전환 분석에 기반한 탐지 방법: 이 방법의 기본 아이디어는 공격을 연속적인 단계별 프로세스로 간주하고 각 단계 간에 일정한 상관 관계가 있다는 것입니다. 네트워크에서 침입이 발생할 경우 추가 발생할 수 있는 유사한 공격을 방지하기 위해 제때에 막아야 합니다. 상태 전환 분석 방법에서 침투 프로세스는 시스템을 초기 상태에서 최종 위험 상태로 변경하는 공격자가 수행하는 일련의 동작으로 볼 수 있습니다.