入侵检测技术分类-软考在线

入侵检测技术分类



考试要求：熟悉

知识路径： > 网络安全基础知识 > 网络安全基础知识 > 入侵检测、入侵防御的概念和应用 > 入侵检测 > 入侵检测系统简介

入侵检测技术分为两种：一种是基于标识；另一种是基于异常情况。

基于标识的检测技术首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要就是判别在所收集的数据中是否出现了这类特征。此方法非常类似杀毒软件。

基于异常的检测技术则是先定义一组系统"正常"情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统，并用统计的办法得出），然后将系统运行时的数值与所定义的"正常"情况相比较，得出是否有被攻击的迹象。其核心在于如何定义"正常"情况。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5