Statistical approaches compare the

Phương pháp tiếp cận thống kê so sánh hành vi tại của người dùng của một hệ thống máy tính với hành vi quan sát và bất kỳ độ lệch đáng kể được coi là như sự xâm nhập. Cách tiếp cận này đòi hỏi phải xây dựng một mô hình cho hành vi người dùng bình thường. IDE (hệ thống chuyên gia phát hiện xâm nhập) lần đầu tiên khai thác các phương pháp thống kê để phát hiện những kẻ xâm nhập. Nó sử dụng mô hình phát hiện xâm nhập được đề xuất bởi Denning và đường mòn kiểm toán các dữ liệu như đề xuất trong Anderson. IDE duy trì hồ sơ, mà là một mô tả về một chủ đề hành vi bình thường đối với một tập hợp của các biện pháp phát hiện xâm nhập. Hồ sơ được Cập Nhật theo định kỳ, do đó cho phép hệ thống để tìm hiểu hành vi mới như người dùng thay đổi hành vi của họ. Những hồ sơ này được sử dụng để so sánh hành vi người dùng và thông báo cho đáng kể độ lệch từ chúng như là sự xâm nhập. IDE còn sử dụng khái niệm chuyên gia hệ thống phát hiện xâm nhập lạm dụng. Hệ thống này sau đó đã phát triển như NIDES (thế hệ mới xâm nhập phát hiện Expert System). Lợi thế của phương pháp này là rằng nó một cách điều hợp học hành vi của người dùng, mà là do đó có khả năng nhạy cảm hơn so với các chuyên gia của con người. Hệ thống này có một số nhược điểm. Hệ thống có thể được đào tạo cho một số hành vi dần dần làm cho hành vi bất thường như bình thường, mà làm cho những kẻ xâm nhập không bị phát hiện. Xác định ngưỡng trên đó một sự xâm nhập nên được phát hiện là một nhiệm vụ khó khăn. Thiết lập ngưỡng quá thấp kết quả dương tính giả (hành vi bình thường được phát hiện như một sự xâm nhập) và thiết lập quá cao kết quả trong sai tiêu cực (một sự xâm nhập không bị phát hiện). Cuộc tấn công xảy ra bởi tuần tự phụ thuộc, không thể được phát hiện, như phân tích thống kê là không nhạy cảm để đặt hàng của sự kiện.

Phương pháp thống kê so sánh hành vi gần đây của một người sử dụng của một hệ thống máy tính với hành vi quan sát được và bất kỳ độ lệch đáng kể được coi như sự xâm nhập. Cách tiếp cận này đòi hỏi phải xây dựng một mô hình cho hành vi người dùng bình thường. IDE (Intrusion Detection Hệ thống Expert) đầu tiên khai thác các phương pháp thống kê để phát hiện những kẻ xâm nhập. Nó sử dụng các mô hình phát hiện sự xâm nhập của Denning và những con đường mòn kiểm toán dữ liệu đề xuất như đề xuất trong Anderson. IDE duy trì các cấu hình mà là một mô tả về hành vi bình thường của đối tượng đối với một loạt các biện pháp phát hiện xâm nhập. Profiles được cập nhật định kỳ, do đó cho phép hệ thống để tìm hiểu hành vi mới là người sử dụng thay đổi hành vi của họ. Những hồ sơ này được sử dụng để so sánh các hành vi người dùng và thông tin sai lệch đáng kể từ đó, sự xâm nhập. IDE cũng sử dụng khái niệm hệ thống chuyên gia để phát hiện sự xâm nhập của việc lạm dụng. Hệ thống này sau đó đã phát triển như NIDES (Tiếp theo thế hệ Intrusion Detection Hệ thống Expert). Ưu điểm của phương pháp này là nó adaptively học hành vi của người sử dụng, đó là do đó có khả năng nhạy cảm hơn so với các chuyên gia của con người. Hệ thống này có một số nhược điểm. Hệ thống có thể được đào tạo cho hành vi nhất định dần dần làm cho các hành vi bất thường như bình thường, mà làm cho những kẻ xâm nhập không bị phát hiện. Xác định các ngưỡng trên mà một sự xâm nhập được phát hiện là một nhiệm vụ khó khăn. Thiết lập các ngưỡng kết quả quá thấp dương tính giả (hành vi bình thường phát hiện như là một sự xâm nhập) và thiết lập kết quả quá cao trong âm tính giả (một sự xâm nhập không bị phát hiện). Các cuộc tấn công, trong đó xảy ra bởi phụ thuộc tuần tự, không thể được phát hiện, như phân tích thống kê là không nhạy cảm để đặt hàng các sự kiện.