回答
2
瀏覽
2165
入侵檢測系統還是要根據其采用的技術不同分為異常檢測和特征檢測,詳細介紹如下:
異常檢測:異常檢測的假設是入侵者活動異常于正常主體的活動,建立正常活動的“活動簡檔”,當前主體的活動違反其統計規律時,認為可能是“入侵”行為。通過檢測系統的行為或使用情況的變化來完成
特征檢測:特征檢測假設入侵者活動可以用一種模式來表示,然后將觀察對象與之進行比較,判別是否符合這些模式。
回答所涉及的環境:聯想天逸510S、Windows 10。
暫無個人描述~
- 提了325個問題,333個回答
- 回答了0個問題
入侵檢測系統的分類有以下這些:
基于主機的入侵檢測系統:該系統通常是安裝在被重點檢測的主機上,其數據源來自主機,如日志文件、審計記錄等。該系統通過監視與分析主機中的上述文件,就能夠檢測到入侵。能否及時采集到上述文件是這些系統的關鍵點之一。因為入侵者會將主機的審計子系統作為攻擊目標以避開IDS。
基于網絡的入侵檢測系統:此系統使用原始網絡包作為數據源。通常利用一個運行在隨機模式下網絡的適配器來實時監視并分析通過網絡的所有通信業務。它的攻擊辯識模塊通常使用四種常用技術來識別攻擊標志:模式、表達式或字節匹配,頻率或穿越閥值,次要事件的相關性,統計學意義上的非常規現象檢測。一旦檢測到了攻擊行為,響應模塊就提供多種選項以通知、報警并對攻擊采取相應的反應。反應因產品而異,但通常都包括通知管理員、中斷連接或為法庭分析和證據收集而作的會話記錄。
混合檢測系統:近幾年來,混合檢測日益受到人們的重視。這類檢測在作出決策之前,既分析系統的正常行為,又觀察可疑的入侵行為,所以判斷更全面、準確、可靠。它通常根據系統的正常數據流背景來檢測入侵行為,故而也有人稱其為“啟發式特征檢測”。
回答所涉及的環境:聯想天逸510S、Windows 10。