admin 管理员组文章数量: 1087139
Signatures
目录
Signatures-based的入侵检测
Anomaly-based的入侵检测
Specification-based的入侵检测
Signatures-based也称为误用检测或基于知识的检测,这是由于使用了从以前的入侵和漏洞中收集的知识。然而,这种方法并不足以检测未知入侵和已知入侵的变种,因为它们的模式是不熟悉的。此外,保持知识的更新是另一个问题(更新已知攻击的数据库),因为这是一个耗时和困难的过程,基于签名的方法不足以解决新的和日益增长的安全问题,随之而来的物联网设备数量的不断增长。
优点:能够精确检测数据库中存在的已知攻击
缺点:
- 不能检测未知攻击或已知攻击变种,尤其是0-day攻击
- 需要不断更新攻击签名数据库,耗时耗力
Anomaly-based的IDS则观察网络行为,分析正常行为,在任何异常情况下,这些异常会导致偏差,并发出警报。
异常是指任何偏离正常行为的行为。基于异常的检测,也称为基于行为的检测,因此Anomaly-based的入侵检测可以定义为“将正常活动与观测到的事件进行比较,以确定显著偏差的过程”。
优点:能够检测未知攻击
缺点:造成虚警率过高
Specification-based的入侵检测,使用人工指定的程序行为规范作为检测攻击的基础,已经被提出作为一种很有前途的替代方法,它结合了误用检测的优点(准确检测已知攻击)和异常检测(检测新攻击的能力)。它通过系统的功能和安全策略来描述系统或设备的理想行为。任何在规范之外执行的操作序列都被认为违反了安全性。
优点:结合了误用检测的优点(准确检测已知攻击)和异常检测(检测新攻击的能力)
缺点:
- 由于流量模式高度依赖于应用程序和用户活动,为通用设备指定相应的规则一直是所面临的挑战
- 一些攻击行为符合设备的specification,因此能够规避检测。
本文标签: Signatures
版权声明:本文标题:Signatures 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1686978248a52461.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论