入侵檢測技術分類
作者:佚名 時間:2013-08-17 分享到:
對各種事件進行分析,從中發現真違反安全策略的行為是入侵檢測系統的核心功能,從技術上,入侵檢測分為兩種,一種基于標識的,另一種基于異常情況.
對于基于標識的檢測技術來說,首先要定義違背安全策略的事件的特征,如網絡數據包的某些頭信息,檢測主要就是差別在所收集到的數據中是否出現了這類特征,此方法非常類似殺病毒軟件.
而基于異常的檢測技術則是先定義一組系統正常情況的數值,如cpu利用率,內存利用率,文件校驗和等,然后將系統運行時的數值與所定義的正常情況比較,得出是否有被攻擊的跡象,這種檢測方式的核心在于如何定義所謂的正常情況.
以上兩種檢測技術的方法,所得出的結論有非常大的差異,基于異常的檢測技術的核心是維護一個知識庫.對于已知的攻擊,它可以詳細,準確地報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新,基于異常的檢測技術則無法差別出攻擊的手法,但它可以差別更廣泛,甚至未發覺攻擊,如果條件允許,兩者結合的檢測會達到更好的效果.
如沒特殊注明,文章均為上海聯楷網絡原創,轉載請注明來自:http://www.ktcbnqb.cn/hynews/20151126/n3023.html
