|
|
|
知识路径: > 网络安全基础知识 > 网络安全基础知识 > 入侵检测、入侵防御的概念和应用 > 入侵检测 > 入侵检测系统简介 >
|
|
考试要求:熟悉
相关知识点:7个
|
|
|
|
|
入侵检测技术分为两种:一种是基于标识;另一种是基于异常情况。
|
|
|
|
基于标识的检测技术首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要就是判别在所收集的数据中是否出现了这类特征。此方法非常类似杀毒软件。
|
|
|
|
基于异常的检测技术则是先定义一组系统"正常"情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统,并用统计的办法得出),然后将系统运行时的数值与所定义的"正常"情况相比较,得出是否有被攻击的迹象。其核心在于如何定义"正常"情况。
|
|
|
|
|
|
|
|
| |
|
|
|
