1,特征檢測
基於簽名的檢測也稱為誤用檢測。這種檢測假設入侵者的活動可以用壹種模式來表示,系統的目標是檢測代理的活動是否符合這些模式。
它可以檢查現有的入侵方法,但對新的入侵方法卻無能為力。難點在於,如何設計壹個既能表達“入侵”現象,又不包括正常活動的模式。
2.異常檢測
異常檢測假設入侵者的活動與正常主體的活動不同。根據這壹思路,建立受試者正常活動的“活動輪廓”,將受試者當前的活動狀態與“活動輪廓”進行比較。當其違反其統計法時,則認為該活動可能是壹種“入侵”行為。
異常檢測的難點在於如何建立“活動輪廓”以及如何設計統計算法,從而不將正常操作視為“入侵”或忽略真實的“入侵”行為。
擴展數據
入侵分類:
1,基於主機
壹般主要以操作系統的審計和跟蹤日誌作為數據源,有的還會主動與主機系統交互,獲取系統日誌中不存在的信息來檢測入侵。
這種檢測系統不需要額外的硬件,對網絡流量不敏感,效率高。它能準確定位入侵並及時響應,但占用主機資源,依賴主機的可靠性,所以它能檢測的攻擊類型有限。無法檢測網絡攻擊。
2、基於網絡
通過被動監控網絡上傳輸的原始流量,對獲取的網絡數據進行處理,提取有用信息,然後通過與已知攻擊特征的匹配或與正常網絡行為原型的對比,識別攻擊事件。
這種檢測系統不依賴於操作系統作為檢測資源,可以適用於不同的操作系統平臺。配置簡單,不需要任何專門的審核和登錄機制;它可以檢測各種攻擊,如協議攻擊和特定環境中的攻擊。
但是它只能監控經過這個網段的活動,無法獲得主機系統的實時狀態,所以準確性較差。大多數入侵檢測工具都是基於網絡的入侵檢測系統。
3.分布的
這種入侵檢測系統通常是分布式的,由多個組件組成。主機入侵檢測用於關鍵主機,網絡入侵檢測用於網絡的關鍵節點。同時,分析來自主機系統的審計日誌和來自網絡的數據流,以判斷受保護系統是否受到攻擊。
百度百科-入侵檢測