入侵检测系统常用两种检测技术是异常检测和误用检测,请简述两种检测技术原理
(1)异常检测:也称基于行为检测,把用户习惯行为特征存入特征库,将用户当前行为特征与特征数据库中存放特征比较,若偏差较大,则认为出现异常。(2)误用检测:通常由安全专家根据对攻击特征、系统漏洞进行分析形成攻击模式库,然后手工编写相应检测规则、特征模型
异常检测方法是指通过计算机或网络资源统计分析,建立系统正常行为库,然后与系统运行行为相比较,判断是否入侵。误用入侵检测通常称为基于特征入侵检测方法,是指根据已知入侵模式检测入侵行为。