IDS和IPS侦测异常行为

IDS和IPS侦测异常行为的方式包含了「利用特征侦测(Signature-based) (又称:不当行为侦测)发现不当行为」和「可察觉异常状态的异常侦测(Anomaly- based Detection)」等两种。前者可和注册过的攻击类型加以比对,类似度较高的事件将被视为异常,系统将采取行动阻止,因此前者必须经常更新并注册新的攻击 类型,否则就无法侦测出未知型态的入侵,这也是这种方式的弱点所在。相对来说, 后者不需要注册攻击类型,也能侦测出未知的攻撃行为,不过一旦使用者出现异于 平常的使用行为时,恐将造成系统在侦测时误判,而近来的网络安全产品也不乏集 结这两种方式者。