@ner
3年前 提问
1个回答

异常入侵检测系统与误用入侵检测系统的区别是什么

房乐
3年前

异常检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件,误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击。

异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

异常检测的局限在于并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新;

误用检测是一种检测计算机攻击的方法。

在误用检测方法中,首先定义异常系统行为,然后将所有其他行为定义为正常。它反对使用反向的异常检测方法:首先定义正常系统行为并将所有其他行为定义为异常。通过误用检测,任何未知的都是正常的。

误用检测的一个例子是在入侵检测系统中使用攻击签名。误用检测也被更普遍地用于指各种计算机滥用。

理论上,误用检测假设异常行为具有易于定义的模型。它的优点是可以简单地将已知攻击添加到模型中。它的缺点是无法识别未知的攻击。