在入侵检测系统中,有两种技术称为异常检测和行为检测.我正在从头开始实施IDS,并且正在检查一些签名,并且从某些站点,它们被作为不同类型的检测方法给出.它们的基本区别是什么?在我看来,两者都是相同的,因此相同的签名应该能够检测到这种类型的攻击.
现场给出的异常检测示例:检测不属于正常配置文件的函数调用
站点上给出的行为检测示例:搜索cmd.exe的任何远程调用.
现在在我看来两者都是一样的东西,即偏离正常行为,那么为什么它们被描述为不同的方法?
我有一个表ABC有EMPLID,GRADE,SALARY和DATE它的领域.
我正在执行以下3个语句:
select count(*) from ABC;
结果: - 458
select count(*) from ABC where GRADE LIKE '%def%';
结果: - 0
select count(*) from ABC where GRADE NOT LIKE '%def%';
结果: - 428
我的观点是:第二个查询的结果加上第三个查询的结果应该等于第一个查询的结果,不应该吗?