誤用檢測。基於知識的入侵檢測又稱為誤用檢測(Misuse Detection),是目前商業化入侵檢測系統中使用的主要方法。
它通過收集入侵攻擊特徵和系統缺陷構成知識庫,利用已有的知識來識別攻擊行為。誤用檢測假定所有入侵行為和手段(及其變種)都能夠精確地按某種方式表達為一種模式或特徵,並對已知的攻擊行為和手段進行特徵分析,提取檢測特徵,得到行為輪廓並將其編碼為檢測規則,構建攻擊模式或攻擊簽名。
如果當前的行為與攻擊檢測規則一致,則將當前行為判決為入侵。誤用檢測技術的特點在於可以準確地檢測已知的入侵行為,但同時對新的入侵攻擊行為以及利用系統未知的或潛在缺陷的越權行為則無能為力。
為了能夠檢測到新出現的攻擊樣式,系統必須不斷地升級知識庫,構建攻擊模式,把真正的入侵與正常行為區分開來,但這樣會耗費大量的人力和物力資源。
誤用檢測技術的實現主要有專家系統、模式匹配(特徵分析)、按鍵監視、模型推理、狀態轉換等。
分享到:
閱讀更多 匯點科技 的文章
