对于入侵检测，贝叶斯推理异常检测方法与模式预测异常检测方法的区别？

发布网友发布时间：2022-05-15 00:35

共1个回答

热心网友时间：2023-11-15 05:53

贝叶斯推理异常检测方法是根据各种异常测量的值、入侵的先验概率及入侵发生时测量到的每种异常概率来计算判断入侵的概率。而模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式。

贝叶斯推理异常检测方法

贝叶斯推理异常检测方法是通过在任意给定的时刻，测量A1，A2，…，An 变量值推理判断系统是否有入侵事件发生。其中每个Ai变量表示系统不同方面的特征（如磁盘I/O的活动数量，或者系统中页面出错的数）。假定Ai 变量具有两个值，1表示异常，0表示正常。I表示系统当前遭受的入侵攻击。每个异常变量Ai 的异常可靠性和敏感性分别表示为

则在给定每个Ai的值的条件下,可由贝叶斯定理得出I的可信度：

其中要求给出I和¬I 的联合概率分布。又假定每个测量Ai仅与I相关，且同其它的测量条Aj 无关,i!=j，则有:

从而得到：

因此，可根据各种异常测量的值、入侵的先验概率及入侵发生时测量到的每种异常概率来计算判断入侵的概率。但是为了检测的准确性，还要必须考虑各测量Ai之间的独立性。最常用的一种方法是通过相关性分析，确定各异常变量同入侵的关系。

模式预测异常检测方法

模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式。这种检测方法的特点是考虑了事件的序列及其相互联系。Teng和Chen给出基于时间的推理方法，利用时间规则识别用户行为正常模式的特征。通过归纳学习产生这些规则集，并能动态地修改系统中的这些规则，使之具有高的预测性、准确性和可信度。如果规则在大部分时间是正确的，并能够成功地运用预测所观察到的数据，那么规则就具有高的可信度。TIM给出了一条产生规则:

其中E1-E5表示安全事件。
这条规则是根据前面观测到事件E1模式后面是E2，E3，E4，E5。观测到E4事件的概率是95%，而事件E5的概率是5%。通过事件当中的临时关系，TIM能够产生更多通用的规则。根据观察到用户的行为，归纳产生出一套规则集来构成用户的轮廓框架。如果观测到的事件序列匹配规则的左边，而后续的事件显著地背离根据规则预测到的事件，那么系统就可以检测出这种偏离,这就表明用户操作是异常。由于不可识别行为模式能匹配任何规则的左边，从而导致不可识别行为模式作为异常判断，这是该方法的主要弱点。相反，如果能预测出不正常的后继事件的片段，则一定程度上可断定用户行为的异常性。
这种方法的主要优点是：