入侵偵測是保護計算機系統和網路免受未經授權的訪問和惡意攻擊的關鍵元素之一。
入侵偵測系統(IDS)上主要有兩大辨識技術:特徵偵測、異常偵測。
這篇文將深入探討這兩大技術之一——特徵偵測的原理、優點和限制。
本篇大綱
一、入侵偵測的兩大技術
二、什麼是特徵偵測?
三、特徵偵測的優點
四、使用特徵偵測可能會導致的問題
五、特徵偵測的限制
入侵偵測系統(IDS)能夠稽核追蹤(audit trail),依時間性記錄系統上的所有活動,藉由對使用者的一系列活動進行梳理和判斷,如此一來,便能找到其中可能的入侵行為或其他資訊安全事件。
而 IDS 偵測是否有入侵行為或其他資安事件,主要使用了兩大技術,分別為:
特徵偵測(Signature-based detection,又稱 Misuse Detection、Knowledge-based Intrusion Detection)是藉由一個集結了許多已知的攻擊資訊所產生的「特徵」資料庫,來讓 IDS 將所有實際發生的事件進行比對,判斷資訊是否與已儲存的特徵相符,或資訊的內容是否有包含非法行為,則會判斷為入侵行為的辨識技術。
特徵偵測是一種有效的入侵偵測方法,通過監控和分析系統或網路的特定特徵,有助於提高對異常行為的識別和反應,從而增強數據和系統的安全性。
下一篇再來繼續說明入侵偵測系統的另一大辨識技術——異常偵測~