超级会员免费看
网络入侵检测与信息融合技术解析
1. 入侵检测新范式
传统的计算机和网络网络攻击检测方法在准确性和效率方面存在不足。近期提出了一种名为攻击 - 正常分离的新方法。该方法基于网络入侵检测与物理空间信号检测(如雷达和声音信号检测)之间存在自然映射的观察。物理空间信号检测常采用模型同时处理信号和噪声,即数据中存在并混合在一起的所有元素,例如用于检测淹没在随机噪声中的正弦波信号的 cuscore 模型。
这种攻击 - 正常分离方法专注于对网络信号(攻击数据)和噪声(正常数据)的数据、特征和特性进行科学发现。借助物理空间中成熟的信号检测模型,构建融合网络信号和噪声特征的攻击 - 正常分离模型。该新范式不仅考虑活动数据,还考虑计算机和网络上网络攻击因果链中的状态和性能数据。
网络攻击 - 正常分离能够提供更准确的结果,可取代特征识别。随着对信号和噪声特征的了解不断增加,网络信号 - 噪声分离方法对攻击类型的覆盖范围将不断扩大,最终有望取代异常检测,增强检测的准确性、效率和充分性,为实际应用铺平道路。
2. 分布式入侵检测环境中的信息融合
将入侵检测与传感器和信息处理概念相结合,有助于在分布式环境中设计和实现入侵检测系统(IDS)。典型的分布式入侵检测系统(DIDS)结构中,本地 IDS 传感器与区域 IDS 管理器之间存在“报告 - 控制”循环。本地 IDS 实时报告包括入侵级别在内的发现结果以及区域层面进一步分析所需的收集信息,区域 IDS 管理器对这些信息进行整合,并通过反馈控制本地 IDS 传感器的进一步信息收集和入侵检测行动,直至对该区域的可疑假设得到确认或排除。这种方案可轻松扩展到包含高级 IDS 管理器的层次结构,每个 IDS 不仅作为
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
