異常入侵檢測系統與誤用入侵檢測系統的區別是什么

異常檢測是指通過攻擊行為的特征庫,采用特征匹配的方法確定攻擊事件，誤用檢測通常不能發現攻擊特征庫中沒有事先指定的攻擊行為,所以無法檢測層出不窮的新攻擊。

異常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動。

根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。

異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

異常檢測的局限在于并非所有的入侵都表現為異常，而且系統的軌跡難于計算和更新；

誤用檢測是一種檢測計算機攻擊的方法。

在誤用檢測方法中，首先定義異常系統行為，然后將所有其他行為定義為正常。它反對使用反向的異常檢測方法：首先定義正常系統行為并將所有其他行為定義為異常。通過誤用檢測，任何未知的都是正常的。

誤用檢測的一個例子是在入侵檢測系統中使用攻擊簽名。誤用檢測也被更普遍地用于指各種計算機濫用。

理論上，誤用檢測假設異常行為具有易于定義的模型。它的優點是可以簡單地將已知攻擊添加到模型中。它的缺點是無法識別未知的攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。