在入侵检测技术中,______是根据用户行为和系统资源使用状况判断是否存在网络入侵。
本题考查入侵检测技术基础知识。入侵检测系统检测分析技术主要分为两大类:滥用检测和异常检测。滥用检测技术也称为基于知识检测技术或模式匹配检测技术。它前提是假设所有网络攻击行为和方法都具有一定模式或特征,如果把以往发现所有网络攻击特征总结出来并建立一个入侵信息库,那么入侵检测系统可以将当前捕获到网络行为特征与入侵信息库中特征信息相比较,如果匹配,则当前行为就被认定为入侵行为。滥用检测技术首先要定义违背安全策略事件特征,检测主要判别所搜集到数据特征是否在所搜集到入侵模式库中出现。这种方法与大部分杀毒软件所采用特征码匹配原理类似。常用滥用检测技术有专家系统、模型推理和状态转换分析等。异常检测技术也称为基于行为检测技术,是指根据用户行为和系统资源使用状况判断是否存在网络入侵。异常检测技术首先假设网络攻击行为是不常见或是异常,区别于所有正常行为。如果能为用户和系统所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到网络行为与行为模型相对比,若入侵行为偏离了正常行为轨迹,就可以被检测出来。常用异常检测技术有概率统计方法和神经网络方法等。
