Challenging the Anomaly Detection Paradigm: A Provocative Discussion
异常的定义
- 三种异常类型
- 外来符号异常
- 外来 n-gram 异常
- 罕见的 n-gram 异常
- 异常不意味着恶意
- “恶意”的定义
异常检测存在的问题
假设
- 攻击是异常的(与正常情况不同)
- 攻击是罕见的
- 异常行为是有恶意的
- Alpha 流(非常大的点对点数据交换)
- DoS
- 大规模突发访问
- 端口扫描
- 网络扫描
- 停机事件
- 单点对多点连接(例如,内容分发)
- 蠕虫
训练数据
- 无攻击数据是可获得的
- 模拟数据具有代表性
- 网络流量是静态的
- 很难在动态漂移的网络环境中再训练或更新 IDS
- 赋予最新对的数据高权重
可操作性
- 误报率 > 1% 是可以接受的
- 恶意有普适的定义
- 管理员可以解释异常情况
建议
- 更明确的定义
- 更明确的目的
- 更多的检测模型
- 更多的测试
参考资料
- Challenging the Anomaly Detection Paradigm: A Provocative Discussion, Gates-Taylor, 2007
- CS 259D Session 13