简述入侵检测常用的方法
入侵检测的主要方法有:静态配置分析法;异常性检测方法;基于行为的检测方法;智能检测法。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
特征检测 特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
入侵检测系统主要采用以下三种方式:特征检测:原理:通过描述已知攻击或入侵行为,形成相应的事件模式。当被审计的事件与这些模式匹配时,系统会发出警报。优点:预报检测的准确率较高,类似于计算机病毒检测。局限:对无经验知识的入侵行为无能为力。
微信扫一扫打赏
