在入侵检测系统中,主要有2种检测方式
1.特征检测
能防御自己特征库内的所有攻击,但是随着特征库的数据越大 那么我们的检测效率也会越低
个人认为这个实现不难,只要提取出大部分攻击的特征码就可以很好的答到防御效果,难的是如何将网络上的数据包解码等一系列操作~
2.异常检测
能自动识别未知攻击的一种检测方式,但是误报率非常之高~
那么如果这2者结合的话可以有效的提高我们的检测精度,但是带来的是效率的降低
不过在这个年头,硬件上我想也足够支撑以上2个系统的计算量的
最近在参加那个信安大赛 准备做个以上2种方法的结合的入侵检测系统
麻烦的是现在实在没办法定位普通数据包的features和异常的features
定位了就好办啦~直接映射到坐标模型,那么普通的数据包会在一个点集内
而异常的会不在点集范围~
那么我们如何通过数据包定位用户的普通操作呢?
通过用户的输入
还得将用户的输入分类
1.验证的输入
2.请求的输入
3.上传数据的输入
还有咧?暂时没想出来 暂时就写这些吧 当备忘用~