@
1年前 提问
1个回答

入侵检测系统的类型有什么

房乐
1年前

从技术上来说入侵检测系统分为以下三种:

  • 基于知识的模式识别:这种技术是通过事先定义好的模式数据库实现的,首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。

  • 基于知识的异常识别:这种技术是通过事先建立正常行为档案库实现的,首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。异常识别的关键是描述正常活动和构建正常活动档案库。利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。

  • 协议分析:这种检测方法是根据针对协议的攻击行为实现的,首先把各种可能针对协议的攻击行为描述出来,其次建立用于分析的规则库,最后利用传感器检查协议中的有效荷载,并详细解析,从而实现入侵检测。这种检测技术能检测出更为广泛的攻击,包括已知的和未知的攻击行为。