基于异常的入侵检测技术和基于误用的入侵检测技术有什么区别？_睦霖题库

简答题基于异常的入侵检测技术和基于误用的入侵检测技术有什么区别？

正确答案： A.异常入侵检测指的是根据非正常行为（系统或用户）和非正常情况使用计算机资源检测出的入侵行为。
a）异常检测（Anomaly Detection）：基于统计分析原理。首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。
b）异常的入侵检测的特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源
B.误用入侵检测是指根据已知的入侵模式来检测入侵。
a）误用检测（Misuse Detection）：基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。
b）特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。
答案解析：
关注下方微信公众号，在线模考后查看

热门试题