主机异常检测
基于主机的入侵检测系统是根据主机系统的系统日志和审计记录来进行检测分析,通常在要受保护的主机上有专门的检测代理,通过对系统日志和审计记录不间断地监视和分析来发现攻击。从技术历程上来看,入侵检测是从主机审计的基础上开始发展起来的,因而早期的入侵检测系统都是基于主机的入侵检测技术的。它主要的目的是在事件发生后提供足够的分析来阻止迸一步的攻击。其缺点是:会占用主机的资源,在服务器上产生额外的负担;缺乏平台的支持,可移植性差,因而应用范围会受到严重限制。
基于行为的检测是根据使用者的行为或资源使用状况来判断是否存在入侵。将攻击视为不同于正常的行为,通过识别任何违反正常的行为检测入侵。异常检测系统试图建立一个对应“正常的系统轮廓”的特征原型,然后把与所建立的特征原型中差别“很大”的行为标志为异常行为。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每一个用户的行为是经常变化的,所以它的主要缺陷在于误报率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检铡器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的行为。