|
|
|
知识路径: > 信息安全性知识 > 入侵检测与防范措施 > 入侵检测的原理 > 入侵检测的原理 >
|
|
相关知识点:2个
|
|
|
|
|
异常检测(也称基于行为的检测)是指把用户习惯行为特征存储在特征库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差较大,则认为有异常情况发生。异常入侵检测系统的目的是检测、防止匿名者和网络内部入侵者的操作。匿名者指网络内部或外部使用一个未授权的账号的计算机操作者。内部入侵者指使用合法账号但越权使用或滥用资源的人。
|
|
|
|
异常入侵检测的优点是不需要入侵的先验知识(先于经验的知识),与系统相对无关,通用性较强,有可能检测出以前未出现过的攻击方法,即检测未知入侵,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的误检率很高。
|
|
|
|
|
|
|
|
