入侵检测技术分类

时间：2013-8-17

   对各种事件进行分析,从中发现真违反安全策略的行为是入侵检测系统的核心功能,从技术上,入侵检测分为两种,一种基于标识的,另一种基于异常情况.
   对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息,检测主要就是差别在所收集到的数据中是否出现了这类特征,此方法非常类似杀病毒软件.
   而基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率,内存利用率,文件校验和等,然后将系统运行时的数值与所定义的正常情况比较,得出是否有被攻击的迹象,这种检测方式的核心在于如何定义所谓的正常情况.
   以上两种检测技术的方法,所得出的结论有非常大的差异,基于异常的检测技术的核心是维护一个知识库.对于已知的攻击,它可以详细,准确地报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新,基于异常的检测技术则无法差别出攻击的手法,但它可以差别更广泛,甚至未发觉攻击,如果条件允许,两者结合的检测会达到更好的效果.