入侵检测应该与操作系统绑定(2) 入侵检测系统进行数据分析有两种常用方法:误用检测、异常检测。误用检测是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较,如果发现有攻击特征,则判断有攻击。特征知识库是将已知的攻击方法和技术的特征提取出来,来建立的一个知识库。 异常检测则是对收集到的数据进行统计分析。它首先假定所有的攻击行为与正常行为不同,这样发现与正常行为有不同时,则判断存在攻击。这需要建立正常行为的标准,如登录时错误次数为多少时视为正常。 相比而言,误用检测的原理简单,很容易配置,特征知识库也容易扩充,但它存在一个致命的弱点——只能检测到已知的攻击方法和技术。异常检测可以检测出已知的和未知的攻击方法和技术,问题是正常行为标准只能采用人工智能、机器学习算法等来生成,并且需要大量的数据和时间,同时,现在人工智能和机器学习算法仍处于研究阶段。所以现在的入侵检测系统大多采用误用检测的分析方法。
