在入侵檢測系統中,主要有2種檢測方式
1.特征檢測?
能防御自己特征庫內的所有攻擊,但是隨著特征庫的數據越大? 那么我們的檢測效率也會越低
個人認為這個實現不難,只要提取出大部分攻擊的特征碼就可以很好的答到防御效果,難的是如何將網絡上的數據包解碼等一系列操作~
2.異常檢測
能自動識別未知攻擊的一種檢測方式,但是誤報率非常之高~
那么如果這2者結合的話可以有效的提高我們的檢測精度,但是帶來的是效率的降低
不過在這個年頭,硬件上我想也足夠支撐以上2個系統的計算量的
最近在參加那個信安大賽? 準備做個以上2種方法的結合的入侵檢測系統
麻煩的是現在實在沒辦法定位普通數據包的features和異常的features
定位了就好辦啦~直接映射到坐標模型,那么普通的數據包會在一個點集內
而異常的會不在點集范圍~
那么我們如何通過數據包定位用戶的普通操作呢?
通過用戶的輸入
還得將用戶的輸入分類
1.驗證的輸入
2.請求的輸入
3.上傳數據的輸入
還有咧?暫時沒想出來? 暫時就寫這些吧? 當備忘用~