在入侵检测系统中,有两种技术称为异常检测和行为检测。我正在从头开始实施IDS,并且正在检查一些签名,并且从某些站点,它们被作为不同类型的检测方法给出。它们的基本区别是什么?在我看来,两者都是相同的,因此相同的签名应该能够检测到这种类型的攻击。
现场给出的异常检测示例:检测不属于正常配置文件的函数调用
站点上给出的行为检测示例:搜索cmd.exe的任何远程调用。
现在在我看来两者都是一样的东西,即偏离正常行为,为什么它们被描述为不同的方法?
答案 0 :(得分:8)
基于异常和行为检测之间确实存在差异。在探讨这两个之前,我想指出一下 入侵检测社区使用两种额外的样式: misused-based (又名基于签名)和基于规范的检测,但这些与您的问题无关。
定义:一个两步法,包括首先使用数据训练系统以建立一些正态概念,然后使用已建立的实际数据来标记偏差。
示例:查看良性网址的某些功能,例如,它们的长度,字符分布等,以找到定义“普通”网址的外观。有了这种正常概念,您就会标记与正常URL长度相差太远的URL或者其中包含太多异常字符。
优点:
缺点:
定义:寻找妥协的证据而不是攻击本身。
示例:监控unset HISTFILE的shell历史记录,该命令通常只有攻击者在破坏计算机后才能进入。
优点:
缺点:
答案 1 :(得分:1)
答案 2 :(得分:0)
IDS的两种主要类型是基于签名和基于异常的。区别很简单:基于签名的IDS依赖于已知攻击的数据库,而基于异常的观察网络行为,描述正常行为,并且在任何异常情况下,这些异常会导致其发出警报的偏差。