《表1 行为与签名方法的比较》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于改进行为特征分析的网络入侵检测研究》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

入侵检测通常是基于签名或行为两种方法，两种方法的优缺点见表1。基于签名的检测方法是在已知的攻击和系统漏洞的累积知识，基于启发式规则搜索任何利用漏洞的尝试并发出警报[4]。一般情况下，未明确被称为攻击的行为都被认为是合法的，因此基于签名方法的IDS通常具有较低的误警率[5]。但基于签名的方法仅能检测已知的攻击，无法应对环境不断变化情况下的新型攻击，仅检测已知的攻击，这需要规则数据库进行频繁更新。基于行为方法的入侵检测技术[6-7]假设可以通过观察与正常行为或系统或用户的预测相关的行为异常来检测入侵。首先，从通过各种手段收集的信息引用中提取正常行为的模型，然后入侵检测系统将该模型与当前活动进行比较，如果检测到偏差，则将触发警报。一般来说，这种方法可将随着环境变化情况下的新型攻击行为考虑在内，因此基于行为分析的入侵检测方法通常具有较低的漏警率，但检测准确率还有待提升[8]。