|
知识路径: > 网络安全 > 入侵检测系统 > IDS分类 >
|
相关知识点:4个
|
|
|
|
从检测方法上可以将IDS分为异常检测和误用检测两种类型。
|
|
|
(1)异常检测(Anomaly Detection)。根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。异常检测与系统相对无关,通用性较强,甚至可以检测出以前未出现过的攻击方法。由于不可能对整个系统内的所有用户行为进行全面的描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在与误检率很高,尤其在用户数据众多,或工作方式经常改变的环境中。另外由于行为模式的统计数据不断更新,入侵者如果知道某系统处在监测器的监视下时,他们可以通过恶意的训练方式,促使检测系统缓慢地更改统计数据,以至于最初认为是异常的行为,经过一段时间的训练后被认为是正常的。这是目前异常检测所面临的一大难题。
|
|
|
(2)误用检测(Misuse Detection)。根据已定义好的入侵模式,通过判断在实际的安全审计数据中是否出现这些入侵模式来完成监测功能。大部分的入侵行为都是利用了已知的系统脆弱性,因此通过分析入侵过程的特征、条件、顺序以及事件间的关系,可以具体描述入侵行为的迹象。误用检测有时也被称为特征分析或基于知识的检测。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员及时做出相应措施提供了方便。误用检测的主要缺陷在于检测范围受已有知识的局限,无法检测未知的攻击类型。另外,检测系统对目标系统的依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也是比较困难的。对于某些内部的入侵行为,如合法用户的泄密等,由于这些入侵行为并没有利用系统的脆弱性,因此误用检测也是无能为力的。
|
|
|
误用检测和异常检测各有优势,又互有不足。在实际系统中,可考虑结合两者的使用,如将误用检测用于数据网络包的检测,将异常检测用于系统的日志分析是目前比较通用的方法。
|
|
|