誤用偵測,也有人稱之為知識基礎型入侵偵測(knowledge-based intrusion detection),是以已知的網路攻擊手法及系統安全漏洞的資訊為基礎,將網路攻擊或試圖利用系統安全漏洞入侵的過程中所會產生的”特徵”累積成為一個知識
庫。入侵偵測系統會將實際發生的事件(無論是否有惡意意圖)與此知識庫進行特徵比對,在發現與知識庫中的特徵相符的事件之後,即會發出警報。可想而知,這種運作方式正如病毒掃瞄程式一般,必須要有足夠完整的攻擊特徵(Attack
Signature)知識庫方能偵測出所有使用已知攻擊手法的攻擊意圖,並且必須定期下載最新的攻擊特徵(正如病毒碼一般),以偵測最新的攻擊手法。
使用誤用偵測的運作模式的好處是若是設計得當,精確度(accuracy)較能得到掌控,可以減少將正常的動作誤判為攻擊事件(False Positive)的可能性。誤用偵測的缺點是攻擊手法相關資訊的收集,以及保持其攻擊特徵知識庫與隨時更新
的安全漏洞同步的困難度,要保持這些資訊或是研究每一個安全漏洞往往需要耗費大量的時間,不能持續更新最新的攻擊特徵將會降低入侵偵測系統的完整度(Completeness),導致無法發現利用最新的安全漏洞的入侵事件(False Negative)。
阿摩線上測驗
登入