问：信息安全工程师入侵检测技术可以分为哪两种？

答：入侵检测技术包括异常入侵检测和误用入侵检测

一、异常入侵检测：

异常检测(也称基于行为的检测)是指把用户习惯行为特征存储在特征库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差较大，则认为有异常情况发生。异常入侵检测系统的目的是检测、防止冒名者(Masqueraders)和网络内部入侵者(Insider)的操作。匿名者指的是网络内部或外部使启一个未被授权的账号的计算机操作者。内部入侵者指的是使用合法账号但却越权使用或滥用资源的人。

异常检测的主要前提条件是将构建用户正常行为轮廓。这样，若追过行为轮廓检测所有的异常活动，则可检测所有的入侵性活动。但是，入侵性活动并不总是与异常活动相符合。这种活动存在四种可能性：

入侵性而非异常；

非入侵性且异常；

非入侵性且非异常；

入侵性且异常。

二、误用入侵检测：

误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类，然后手工的编写相应的检测规则和特征模型。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。入侵模式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系。一个不完整的模式可能表明存在入侵的企图，模式构造有多种方式。

误用检测技术的核心是维护一个入侵规则库。对于己知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且入侵模式库必须不断更新。

习题演练：

入侵检测技术包括异常入侵检测和误用入侵检测。以下关于误用检测技术的描述中，正确的是（  ）。

A.误用检测根据对用户正常行为的了解和掌握来识别入侵行为

B.误用检测根据掌握的关于入侵或攻击的知识来识别入侵行为

C.误用检测不需要建立入侵或攻击的行为特征库

D.误用检测需要建立用户的正常行为特征轮廓

信管网参考答案: B (仅供参考,欢迎评论交流)

信管网解析:

误用检测是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。

优点：依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。

缺点：与具体系统依赖性太强,不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范围受己知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄露。官方教材(第一版) P297。