异常检测-软考在线

异常检测



考试要求：了解

知识路径： > 信息安全性知识 > 入侵检测与防范措施 > 入侵检测的原理 > 入侵检测的原理

异常检测（也称基于行为的检测）是指把用户习惯行为特征存储在特征库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差较大，则认为有异常情况发生。异常入侵检测系统的目的是检测、防止匿名者和网络内部入侵者的操作。匿名者指网络内部或外部使用一个未授权的账号的计算机操作者。内部入侵者指使用合法账号但越权使用或滥用资源的人。

异常入侵检测的优点是不需要入侵的先验知识（先于经验的知识），与系统相对无关，通用性较强，有可能检测出以前未出现过的攻击方法，即检测未知入侵，不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的误检率很高。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5