在入侵檢測系統(tǒng)中,主要有2種檢測方式
1.特征檢測?
能防御自己特征庫內(nèi)的所有攻擊,但是隨著特征庫的數(shù)據(jù)越大? 那么我們的檢測效率也會越低
個人認(rèn)為這個實(shí)現(xiàn)不難,只要提取出大部分攻擊的特征碼就可以很好的答到防御效果,難的是如何將網(wǎng)絡(luò)上的數(shù)據(jù)包解碼等一系列操作~
2.異常檢測
能自動識別未知攻擊的一種檢測方式,但是誤報率非常之高~
那么如果這2者結(jié)合的話可以有效的提高我們的檢測精度,但是帶來的是效率的降低
不過在這個年頭,硬件上我想也足夠支撐以上2個系統(tǒng)的計算量的
最近在參加那個信安大賽? 準(zhǔn)備做個以上2種方法的結(jié)合的入侵檢測系統(tǒng)
麻煩的是現(xiàn)在實(shí)在沒辦法定位普通數(shù)據(jù)包的features和異常的features
定位了就好辦啦~直接映射到坐標(biāo)模型,那么普通的數(shù)據(jù)包會在一個點(diǎn)集內(nèi)
而異常的會不在點(diǎn)集范圍~
那么我們?nèi)绾瓮ㄟ^數(shù)據(jù)包定位用戶的普通操作呢?
通過用戶的輸入
還得將用戶的輸入分類
1.驗(yàn)證的輸入
2.請求的輸入
3.上傳數(shù)據(jù)的輸入
還有咧?暫時沒想出來? 暫時就寫這些吧? 當(dāng)備忘用~