3· شناسایی مبتنی بر مشخصات: مجموعه ای از خصوصیت ها و محدودیت هایی که عملکرد صحیح یک برنامه یا پروتکل را توضیح می دهند مشخص می شود. آنگاه اجرای برنامه با توجه به خصوصیات و محدودیت های تعریف شده تحت نظارت قرار می گیرد و مانیتور می شود [14]. این روش در مرجع [21] معرفی شده است؛ در این روش امکان شناسایی حملات ناشناخته ی قبل با نرخ هشدار مثبت کاذب کمی فراهم شده.
· • Specification based detection: A set of specification
· and constraints that describe the correct operation of a
· program or protocol is defined. Then execution of the
· program with respect to the defined specifications and
· constraints is monitored [14]. This methodology was
· introduced in [21], which provided the capability to detect
· previously unknown attacks, while exhibiting a low false
· positive alarm rate.
سبح [13] تمایز اصلی بین شناسایی مبتنی بر ناهنجاری و شناسایی مبتنی بر سوءاستفاده را به این صورت مشخص کرد: "سیستم های تشخیص ناهنجاری سعی بر این دارند که تأثیر رفتارِ سوء را شناسایی کنند ولی سیستم های تشخیص سوءاستفاده تلاش می کنند رفتارهای سوء شناخته شده را شناسایی کنند".
Sobh [13] identified the main distinction among the
anomaly based detection and misuse based detection as:
"anomaly detection systems try to detect the effect of bad
behavior but misuse detection systems try to recognize known
bad behavior”.
تکنیک های شناسایی نفوذ مبتنی بر مشخصات، نقاط قوت هر دو روش شناسایی مبتنی بر ناهنجاری و سوءاستفاده را با استفاده از خصوصیات و محدودیت هایی که بطور دستی برای تشخیص رفتار صحیح سیستم ایجاد شده اند ترکیب می کند. تکنیک های شناسایی نفوذ مبتنی بر مشخصات و تکنیک های شناسایی مبتنی بر ناهنجاری از این جهت که هر دو حملات را به صورت انحراف از پروفایل طبیعی تشخیص می دهند با یکدیگر شباهت دارند. از آنجایی که این تکنیک ها مبتنی بر مشخصات و محدودیت هایی هستند که به صورت دستی ایجاد شده اند، نرخ هشدار کاذب کمی در مقایسه با تکنیک های شناسایی مبتنی بر ناهنجاری که دارای نرخ هشدار کاذب بالایی است دارند. از سوی دیگر قیمت دستیابی به نرخ هشدار کاذب کم این است که ایجاد این مشخصات و محدودیت ها بسیار زمان گیر است [22].
Specification based intrusion detection techniques combine
the advantages of both misuse and anomaly based detection
techniques, by using manually developed specifications and
constraints to characterize legitimate system behavior. Specification
based intrusion detection techniques are similar to
anomaly based detection techniques, in that both of them
detect attacks as the deviations from a normal profile. Since
specification based detection techniques are based on manually
developed specifications and constraints, they have low false
alarm rate compared to the high false alarm rated anomaly
based detection techniques. On the other hand, the cost to
achieve the mentioned low false alarm rate is that the development
of detailed specifications and constraints would be
very time consuming [22].