入侵偵測是保護計算機系統和網路免受未經授權的訪問和惡意攻擊的關鍵元素之一。
入侵偵測系統（IDS）上主要有兩大辨識技術：特徵偵測、異常偵測。

這篇文將深入探討這兩大技術之一——特徵偵測的原理、優點和限制。

本篇大綱
一、入侵偵測的兩大技術
二、什麼是特徵偵測？
三、特徵偵測的優點
四、使用特徵偵測可能會導致的問題
五、特徵偵測的限制

一、入侵偵測的兩大技術

入侵偵測系統（IDS）能夠稽核追蹤（audit trail），依時間性記錄系統上的所有活動，藉由對使用者的一系列活動進行梳理和判斷，如此一來，便能找到其中可能的入侵行為或其他資訊安全事件。

而 IDS 偵測是否有入侵行為或其他資安事件，主要使用了兩大技術，分別為：

1. 特徵偵測（Signature-based detection）
2. 異常偵測（Anomaly-based detection）

二、什麼是特徵偵測？

特徵偵測（Signature-based detection，又稱 Misuse Detection、Knowledge-based Intrusion Detection）是藉由一個集結了許多已知的攻擊資訊所產生的「特徵」資料庫，來讓 IDS 將所有實際發生的事件進行比對，判斷資訊是否與已儲存的特徵相符，或資訊的內容是否有包含非法行為，則會判斷為入侵行為的辨識技術。　

三、特徵偵測的優點

1. 高效性：
   • 使用特徵偵測技術可以有效於偵測已知的攻擊，因為它就是使用預先定義的攻擊進行偵測。
2. 低虛假警報率：
   • 專注於已知攻擊，虛假警報的機率相對較低。
3. 快速識別已知攻擊：
   • 一旦攻擊的特徵被匹配，入侵偵測系統就能夠立即識別攻擊，有助於迅速採取應對措施。

四、使用特徵偵測可能會導致的問題

1. 因為非法的特徵都是公開的資訊，因此可能導致入侵者更新攻擊特徵，規避了偵測。
2. 入侵者可能會分割封包，使系統無法比對出非法特徵。
3. 入侵者可能會故意在系統中各處放置病毒，使電腦癱瘓而無法偵測。

五、特徵偵測的限制

1. 無法應對未知的攻擊，因此對於新型攻擊可能無能為力。
2. 需要經常更新資料庫，以確保偵測系統能夠應對新攻擊。

特徵偵測是一種有效的入侵偵測方法，通過監控和分析系統或網路的特定特徵，有助於提高對異常行為的識別和反應，從而增強數據和系統的安全性。

下一篇再來繼續說明入侵偵測系統的另一大辨識技術——異常偵測～