2)入侵检测技术
异常检测:基于异常的入侵检测是根据系统或用户的非正常行为或者对于计算机资源的非正常使用检测出入侵行为的检测技术。在异常检测中,观察到的不是已知的入侵行为,而是系统运行过程中的异常现象。异常检测需要建立一个系统的正常活动状态或用户正常行为模式的描述模型,操作时将用户当前行为模式或系统的当前状态与该正常模型进行比较,如果当前值超出了预设的阈值,则认为存在着攻击行为。
误用检测:基于误用入侵检测根据已知入侵攻击的信息(知识、模式等)来检测系统中的入侵和攻击。误用检测需要对现有的各种攻击手段进行分析,建立能够代表该攻击行为的的特征集合,操作时将当前数据进行处理后与这些特征集合进行匹配,如果匹配成功则说明有攻击发生。