【第10章】入侵检测技术原理与应用(信息安全工程师)软考
由于入侵行为会引起主机系统的变化,因此在实际的 HIDS 产品中,CPU 利用率、内存利用率、磁盘空间大小、网络端口使用情况、注册表、文件的完整性、进程信息、系统调用等常作为识别入侵事件的依据。理想情况下,异常行为集合等同于入侵行为集合,此时,如果 IDS 能够检测到所有的异常行为,则表明能够检测到所有的入侵行为。异常检测方法是指通过计算机或网络资源统计分析,建立系统正常行为的轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数值与所定义的'正常情况相比较,得出是否有被攻击的迹象。
