誤用入侵檢測常用檢測方法有哪些

誤用入侵檢測常用檢測方法有以下三種：

• 模式匹配方法：最基本、最簡單的誤用檢測方法，它將已知的入侵特征轉換成模式，存放在模式數據庫中，在檢測過程中將捕獲的事件與模式數據庫中的入侵模式進行匹配，若匹配成功則認為有入侵行為發生。

• 專家系統方法：最傳統、最通用的誤用檢測方法，它基于通用的規則系統，將有關待解決問題領域知識的描述與根據事件集進行推理匹配的過程相分離，允許用戶像if-then規則一樣輸入攻擊信息，然后以審計事件的形式輸出事實，系統根據輸入的信息評估這些事實。用戶并不需要理解專家系統[插圖]的內部功能和過程，但需要編寫決定引擎和規則的代碼，規則集的每條入侵檢測規則都對應某個入侵腳本場景。其缺點是系統能力受限于專家知識，不適合處理大批量數據，因采用解釋器而影響速度，無法對連續有序數據進行處理，也難以處理不確定事件。

• 狀態轉換方法：最靈活、最強有力的誤用檢測方法，它允許使用最優模式匹配技巧來結構化處理誤用檢測問題。該方法使用系統狀態和狀態轉換表達式來描述和檢測已知入侵，常用的狀態轉換方法有狀態轉換分析法和有色Petri網。前者的優點是提供了一個直接、高級、與審計記錄獨立的概要描述，允許用戶描繪構成攻擊概要的部分順序信號動作，系統保存的硬連接信息使它更容易表示攻擊情景，且能檢測出協同的緩慢攻擊；后者的優點是速度快，模式匹配引擎獨立于審計格式，特征在跨越審計記錄方面非常方便，可移植性強，模式能根據需要進行匹配，事件的順序和其他排序約束條件可以直接體現出來。

入侵檢測可以檢測以下攻擊：

• 拒絕服務：利用域名解析服務器不驗證請求源的弱點，攻擊者偽裝成攻擊目標域名向全世界數以百萬計的域名解析服務器發送查詢請求，域名服務器返回的數據要遠大于請求的數據，導致目標遭受了放大數十倍的DDoS攻擊。被利用的域名服務器因此每天會收到大量的惡意請求，它也不斷的遭受較小規模的DDoS攻擊；

• 分布式拒絕服務：是指處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個；

• 暴力拆解：是指攻擊者通過系統的組合所有可能性（例如登錄時用的賬戶名.密碼），嘗試所有的可能性破解用戶的賬戶名.密碼等敏感信息，攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼；

• 端口掃描：端口掃描是指某些別有用心的人發送一組端口掃描消息，試圖以此侵入某臺計算機，并了解其提供的計算機網絡服務類型（這些網絡服務均與端口號相關）。端口掃描是計算機解密高手喜歡的一種方式。攻擊者可以通過它了解到從哪里可探尋到攻擊弱點。實質上，端口掃描包括向每個端口發送消息，一次只發送一個消息。接收到的回應類型表示是否在使用該端口并且可由此探尋弱點；

• 嗅探攻擊：嗅探器可以獲取網絡上流經的數據包。用集線器hub組建的網絡是基于共享的原理的，局域網內所有的計算機都接收相同的數據包，而網卡構造了硬件的“過濾器“通過識別MAC地址過濾掉和自己無關的信息，嗅探程序只需關閉這個過濾器，將網卡設置為“混雜模式“就可以進行嗅探。用交換機switch組建的網絡是基于“交換“原理的，交換機不是把數據包發到所有的端口上，而是發到目的網卡所在的端口，這樣嗅探起來會麻煩一些，嗅探程序一般利用“ARP欺騙“的方法，通過改變MAC地址等手段，欺騙交換機將數據包發給自己，嗅探分析完畢再轉發出去；

• 病毒攻擊：病毒是人為制造的，有破壞性，又有傳染性和潛伏性的，對計算機信息或系統起破壞作用的程序。它不是獨立存在的，而是隱蔽在其他可執行的程序之中。計算機中病毒后，輕則影響機器運行速度，重則死機系統破壞；