入侵偵測系統（IDS）上主要有兩大辨識技術：特徵偵測、異常偵測。

上一篇文介紹了特徵偵測的原理、優點和限制。
這篇文將探討另一大技術——異常偵測～

本篇大綱
一、什麼是異常偵測？
二、需使用異常偵測進行判斷的情況
三、異常偵測的優點
四、異常偵測的缺點

一、什麼是異常偵測？

異常偵測（Anomaly-based detection，又稱 Anomaly Detection）能夠使用自己的主機或網路產生的特定描述檔，並監視系統或網路中的活動一段時間且記錄下來。當活動不符合正常行為模型時，它們會被視為潛在的威脅，並觸發警報。

異常偵測 VS 協定狀態分析

異常偵測：使用自己的主機或網路產生的特定描述檔。
協定狀態分析（stateful protocol analysis）：依靠廠商提供的描述檔，將觀察到的事件與協定的預先定義的正常狀態做比較，以找出重要的差異。

二、需使用異常偵測進行判斷的情況

1. 若攻擊使用了伺服器不支援的命令；
2. 若「攻擊傳送的動作」超出協定的範圍；
3. 當封包過大的時候，我們會將它切割、重整，使得封包有資料重疊、覆蓋的情況發生時；
4. ICMP 封包超出正常比例；
5. 有異常封包標頭時；
6. 來源 IP 和 Port 與目的 IP 和 Port 相同時；
7. 若 HTTP、POP、IMAP 協定中出現了 Shell 命令時。

三、異常偵測的優點

1. 能夠偵測未知攻擊：
   • 未知攻擊（包含：零日攻擊）。

   零日攻擊
   利用沒有修復方案的安全性漏洞的攻擊。

2. 利用較低的成本維護特徵資料庫：
   • 不需要定期更新攻擊特徵的資料庫，因此維護成本相對較低。
3. 能夠應對新型攻擊：
   • 因為不依賴先前已知的攻擊特徵，較可以應對新型攻擊。

四、異常偵測的缺點

1. 可能會產生虛假警報：
   • 使用異常偵測的方法關注不尋常行為，因此可能會產生虛假警報，需要進一步的調查和驗證。
2. 建立正常行為模型需要時間：
   • 建立準確的正常行為模型可能需要一段時間，且需要不斷更新以適應環境變化。

murmur：身為壓秒仔，今天似乎是第一次這麼早發布文章的XD