Richtung glaubwürdige Bewertung von anomaliebasierten Intrusion-Detection-Methoden

Seit der ersten Einführung der anomaliebasierten Intrusionserkennung in die Forschungsgemeinde im Jahr 1987 hat sich das Feld enorm weiterentwickelt. Eine Vielzahl von Methoden und Techniken, die neue Fähigkeiten zur Erkennung neuartiger Angriffe einführen, wurde entwickelt. Die meisten dieser Techniken berichten von einer hohen Erkennungsrate von 98% bei einer niedrigen Fehlalarmrate von 1%. Trotz der Attraktivität des anomaliebasierten Ansatzes bevorzugt die Industrie im Allgemeinen die signaturbasierte Erkennung für die Mainstream-Implementierung von Intrusion-Detection-Systemen. Obwohl eine Vielzahl von Techniken zur Anomalieerkennung vorgeschlagen wurde, ist ein angemessener Vergleich der Stärken und Einschränkungen dieser Methoden, der zu potenziellen kommerziellen Anwendungen führen könnte, schwierig. Da die Validität experimenteller Forschung in der akademischen Informatik im Allgemeinen fraglich ist, ist es plausibel, anzunehmen, dass die Forschung zur Anomalieerkennung dieses Problem teilt. Die Bedenken hinsichtlich der Validität dieser Methoden könnten teilweise erklären, warum anomaliebasierte Intrusion-Detection-Methoden von der Industrie nicht übernommen werden. Um dieses Problem zu untersuchen, überprüfen wir den aktuellen Stand der experimentellen Praxis im Bereich der anomaliebasierten Intrusionserkennung und befassen uns mit 276 Studien zu diesem Thema, die im Zeitraum von 2000-2008 veröffentlicht wurden. Wir fassen unsere Beobachtungen zusammen und identifizieren die häufigsten Fallstricke unter den befragten Arbeiten.