Pan*_*and 7 intrusion-detection
在入侵检测系统中,有两种技术称为异常检测和行为检测.我正在从头开始实施IDS,并且正在检查一些签名,并且从某些站点,它们被作为不同类型的检测方法给出.它们的基本区别是什么?在我看来,两者都是相同的,因此相同的签名应该能够检测到这种类型的攻击.
现场给出的异常检测示例:检测不属于正常配置文件的函数调用
站点上给出的行为检测示例:搜索cmd.exe的任何远程调用.
现在在我看来两者都是一样的东西,即偏离正常行为,那么为什么它们被描述为不同的方法?
基于异常和行为检测之间确实存在差异.在探讨这两个之前,我想指出入侵检测社区使用了两种额外的样式:基于误用(基于签名)和基于规范的检测,但这些与您的问题无关.
定义:一种两步法,包括首先使用数据训练系统以建立一些正态概念,然后使用已建立的实际数据来标记偏差.
示例:查看良性URL的一些功能,例如,它们的长度,字符分布等,以查找定义"普通"URL的外观.有了这种常态概念,您就会标记与正常URL长度相差太远或者其中包含太多异常字符的URL.
优点:
缺点:
定义:寻找妥协的证据而不是攻击本身.
示例:监视shell历史记录unset HISTFILE,该命令通常只有攻击者在破坏计算机后才能进入.
优点:
缺点: