4.1 入侵检测技术
(1)误用检测
误用检测又称为特征检测,它将已知的入侵活动用一种模式来表示,形成网络攻击特征库,或称为网络攻击规则库。该方法对输入的待分析数据源进行适当处理,提取其特征,并将这些特征与网络攻击特征库中的特征进行比较,如果发现匹配的特征,则指示发生了一次入侵行为。
优点:误报率低、能够准确的识别已知的攻击,并详细地报告出网络攻击类型。
缺点:漏报率高、对新的入侵方法无能为力
(2)异常检测
异常检测收集正常活动的规律,将待检测的活动与这些正常活动的规律进行比较,对于违反正常活动统计规律的活动,认为该活动可能是入侵行为。
优点:漏报率低、不需要对每种入侵行为进行定义,可以检测到未知的入侵行为。
缺点:误报率高、可能无法明确入侵行为的类型。
4.2 入侵检测系统
入侵检测系统(IDS)是指执行入侵检测任务和功能的系统,它将入侵检测技术植入到可部署的系统中,对计算机网络或系统中违反安全策略的行为进行识别和相应处理。
(1)基于主机的入侵检测系统
基于主机的入侵检测系统分析的数据源来自主机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录等,它一般保护所在的主机系统。
优点:不需要额外硬件,对网络流量不敏感,入侵检测效率高并且能准确定位入侵位置并做出反应。
缺点:依赖主机可靠性,可移植性差,所能检测的攻击类型有限,并影响主机运行性能和服务效率。
(2)基于网络的入侵检测系统
基于网络的入侵检测系统分析的数据源来自网络上传输的原始能量,它保护其所处网段的计算机网络,担负着整个网段是否被入侵的任务。
优点:不依赖操作系统作为待检测数据的来源,可以
最低0.47元/天 解锁文章
扫一扫
4522
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
