Существует действительно разница между обнаружением аномалий и поведенческим обнаружением.Прежде чем исследовать оба, я хотел бы отметить, что сообщество по обнаружению вторжений использует два дополнительных стиля: на основе неправильного использования (он же на основе сигнатуры) и на основе спецификации обнаружение, но покаони не связаны с вашим вопросом.
Обнаружение на основе аномалий
Определение: Двухэтапный подход, включающий в себя первую тренировку системы с данными, чтобы установить некоторое представление о нормальностиа затем используйте установленный профиль для реальных данных, чтобы пометить отклонения.
Пример : посмотрите на некоторые особенности доброкачественных URL-адресов, например, их длину, распределение символов и т. д., чтобы определить, что определить«нормальный» URL выглядит так.С этим понятием нормальности вы бы пометили URL, которые слишком далеко от нормальной длины URL или содержат слишком много ненормальных символов.
Плюсы:
- Может обнаружить потенциальноширокий спектр новых атак
Минусы:
- Может пропустить известные атаки
- Может пропустить новые атаки, если они не торчат вдоль наблюдаемого измерения
- Высокий процент положительных результатов (см. Ошибка базовой скорости )
- Чистота данных о тренировках (т. Е. Отсутствие атак)
Поведениеобнаружение на основе
Определение : поиск свидетельства компромисса, а не самой атаки.
Пример : мониторингистория оболочки для unset HISTFILE, команда, которая обычно вводится только злоумышленниками после взлома компьютера.
Плюсы:
- Может обнаруживать широкий спектр новых атак
- Низкие ложные срабатывания
- Может быть дешевым в развертывании и мониторинге
Минусы:
- Постфактум, атака уже произошла
- Легко уклониться после того, как известен