《表1 行为与签名方法的比较》
入侵检测通常是基于签名或行为两种方法,两种方法的优缺点见表1。基于签名的检测方法是在已知的攻击和系统漏洞的累积知识,基于启发式规则搜索任何利用漏洞的尝试并发出警报[4]。一般情况下,未明确被称为攻击的行为都被认为是合法的,因此基于签名方法的IDS通常具有较低的误警率[5]。但基于签名的方法仅能检测已知的攻击,无法应对环境不断变化情况下的新型攻击,仅检测已知的攻击,这需要规则数据库进行频繁更新。基于行为方法的入侵检测技术[6-7]假设可以通过观察与正常行为或系统或用户的预测相关的行为异常来检测入侵。首先,从通过各种手段收集的信息引用中提取正常行为的模型,然后入侵检测系统将该模型与当前活动进行比较,如果检测到偏差,则将触发警报。一般来说,这种方法可将随着环境变化情况下的新型攻击行为考虑在内,因此基于行为分析的入侵检测方法通常具有较低的漏警率,但检测准确率还有待提升[8]。
图表编号 | XD00124653900 严禁用于非法目的 |
---|---|
绘制时间 | 2020.02.01 |
作者 | 曹峰 |
绘制单位 | 山西临汾市公安局网络安全保卫支队 |
更多格式 | 高清、无水印(增值服务) |