二者之间的区别如下:
- 就模型构建而言,异常入侵检测学习的是正常的行为模式;误用入侵检测编码的是特定的入侵行为。
- 就训练而言,异常入侵检测模式的建立需要经过一定的训练时间;误用入侵检测不需要。
- 就是否能够发现新的攻击模式而言,异常入侵检测可以做到,因为它匹配的是正常行为,如果没有匹配到,则说明待检测行为是未知的攻击模式;误用入侵检测做不到,因为它匹配的是异常行为,如果没有匹配成功,则默认该行为是正常行为,因此它只能够检测出已知的攻击类型。
- 就漏报率而言,异常入侵检测的漏报率低,因为它类似于白名单机制,那些未被预期到的入侵行为也是可以被制止的;而误用入侵检测的漏报率有待提升,它类似于黑名单机制,在很多情况下,我们无法穷尽所有可能的入侵行为,所以会出现漏报。另外,由于该“黑名单”的存在,入侵者可以通过变形绕过“黑名单”,因而漏报率会高。
- 就模式库更新而言,异常入侵检测通常在入侵检测系统运行过程中进行,即边运行边更新;而误用入侵检测新特征发现过程和“使用已有特征进行检测”这一过程是相互独立的。
二者之间的联系如下:
- 二者都是入侵检测系统的可选方案。
- 二者都更新“特征/模式库”的行为。