用于事后分析的入侵檢測方法是什么

用于事后分析的入侵檢測方法是完整性分析。入侵檢測一般通過三種技術手段進行分析模式匹配，統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

• 模式匹配

  模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測以前從未出現過的黑客攻擊手段。

• 統計分析

  統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值如果超過了正常值范圍，就認為有入侵發生。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，這在前面入侵檢測的分類中已經提到。下面只對統計分析的模型做以介紹。

• 完整性分析

  完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被修改成類似特洛伊木馬的應用程序方面特別有效。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是有入侵行為導致了文件或其他對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應。

回答所涉及的環境：聯想天逸510S、Windows 10。