@信仰
3年前 提问
1个回答
什么是误用入侵检测
一颗小胡椒
3年前
误用入侵检测指根据已知的攻击特征检测入侵,可以直接检测出入侵行为,误用检测方法的有点是误报率低,可以发现已知的攻击行为。但是,这种方法检测的效果取决于检测知识库的完备性,为此,特征库必须及时更新。此外,这种方法无法发现未知的入侵行为。
误用入侵检测系统中常用的检测方法有:
- 模式匹配法
是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较,从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担,有较高的检测率和准确率。
- 专家系统法
这个方法的思想是把安全专家的知识表示成规则知识库,再用推理算法检测入侵。主要是针对有特征的入侵行为。
- 基于状态转移分析的检测法
该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为,防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中,一个渗透过程可以看作是由攻击者做出的一系列的行为而导致系统从某个初始状态变为最终某个被危害的状态。