X0_0X
2
等保中級測評師
CICSA
X0_0X2
等保中級測評師
CICSA
入侵檢測系統的核心是其檢測技術也就是對各種事件進行分析,從中發現違反安全策略的行為,入侵檢測分為兩類:一種基于標志(signature-based),另一種基于異常情況(anomaly-based)。對于基于標志的檢測技術來說,首先要定義違背安全策略的事件的特征,如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。
而基于異常的檢測技術則是先定義一組系統“正常”情況的數值,如CPU利用率、內存利用率、文件校驗和等(這類數據可以人為定義,也可以通過觀察系統、并用統計的辦法得出),然后將系統運行時的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。
兩種檢測技術的方法、所得出的結論有非常大的差異。基于標志的檢測技術的核心是維護一個知識庫。對于已知的攻擊,它可以詳細、準確的報告出攻擊類型,但是對未知攻擊卻效果有限,而且知識庫必須不斷更新。基于異常的檢測技術則無法準確判別出攻擊的手法,但它可以(至少在理論上可以)判別更廣范、甚至未發覺的攻擊。
推薦文章
