問(wèn)：信息安全工程師入侵檢測(cè)技術(shù)可以分為哪兩種？

答：入侵檢測(cè)技術(shù)包括異常入侵檢測(cè)和誤用入侵檢測(cè)

一、異常入侵檢測(cè)：

異常檢測(cè)(也稱基于行為的檢測(cè))是指把用戶習(xí)慣行為特征存儲(chǔ)在特征庫(kù)中，然后將用戶當(dāng)前行為特征與特征數(shù)據(jù)庫(kù)中的特征進(jìn)行比較，若兩者偏差較大，則認(rèn)為有異常情況發(fā)生。異常入侵檢測(cè)系統(tǒng)的目的是檢測(cè)、防止冒名者(Masqueraders)和網(wǎng)絡(luò)內(nèi)部入侵者(Insider)的操作。匿名者指的是網(wǎng)絡(luò)內(nèi)部或外部使啟一個(gè)未被授權(quán)的賬號(hào)的計(jì)算機(jī)操作者。內(nèi)部入侵者指的是使用合法賬號(hào)但卻越權(quán)使用或?yàn)E用資源的人。

異常檢測(cè)的主要前提條件是將構(gòu)建用戶正常行為輪廓。這樣，若追過(guò)行為輪廓檢測(cè)所有的異常活動(dòng)，則可檢測(cè)所有的入侵性活動(dòng)。但是，入侵性活動(dòng)并不總是與異?；顒?dòng)相符合。這種活動(dòng)存在四種可能性：

入侵性而非異常；

非入侵性且異常；

非入侵性且非異常；

入侵性且異常。

二、誤用入侵檢測(cè)：

誤用檢測(cè)一般是由計(jì)算機(jī)安全專家首先對(duì)攻擊情況和系統(tǒng)漏洞進(jìn)行分析和分類，然后手工的編寫相應(yīng)的檢測(cè)規(guī)則和特征模型。誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。誤用入侵檢測(cè)指的是通過(guò)按預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生的情況進(jìn)行模式匹配來(lái)檢測(cè)。入侵模式說(shuō)明了那些導(dǎo)致安全突破或其他誤用的事件中的特征、條件、排列和關(guān)系。一個(gè)不完整的模式可能表明存在入侵的企圖，模式構(gòu)造有多種方式。

誤用檢測(cè)技術(shù)的核心是維護(hù)一個(gè)入侵規(guī)則庫(kù)。對(duì)于己知的攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且入侵模式庫(kù)必須不斷更新。

習(xí)題演練：

入侵檢測(cè)技術(shù)包括異常入侵檢測(cè)和誤用入侵檢測(cè)。以下關(guān)于誤用檢測(cè)技術(shù)的描述中，正確的是（  ）。

A.誤用檢測(cè)根據(jù)對(duì)用戶正常行為的了解和掌握來(lái)識(shí)別入侵行為

B.誤用檢測(cè)根據(jù)掌握的關(guān)于入侵或攻擊的知識(shí)來(lái)識(shí)別入侵行為

C.誤用檢測(cè)不需要建立入侵或攻擊的行為特征庫(kù)

D.誤用檢測(cè)需要建立用戶的正常行為特征輪廓

信管網(wǎng)參考答案: B (僅供參考,歡迎評(píng)論交流)

信管網(wǎng)解析:

誤用檢測(cè)是通過(guò)按預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生的情況進(jìn)行模式匹配來(lái)檢測(cè)。

優(yōu)點(diǎn)：依據(jù)具體特征庫(kù)進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高，并且因?yàn)闄z測(cè)結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。

缺點(diǎn)：與具體系統(tǒng)依賴性太強(qiáng),不但系統(tǒng)移植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識(shí)也很困難。并且檢測(cè)范圍受己知知識(shí)的局限，尤其是難以檢測(cè)出內(nèi)部人員的入侵行為，如合法用戶的泄露。官方教材(第一版) P297。