网络入侵检测系统的研究和发展(7)

网络入侵检测系统的研究和发展

用于误用检测的状态转移分析引擎包括一组状态转移图，各自代表一种入侵或渗透模式。每当有新行

为发生时，分析引擎检查所有的状态转移图，查看是否会导致系统的状态转移。如果新行为否定了当前状态的断言，分析引擎将状态转移图回溯到断言仍然成立的状态；如果新行为使系统状态转移到了入侵状态，状态转移信息就被发送到决策引擎，由决策引擎根据预定义的策略采取相应措施。

以状态转移分析方法表示的攻击检测过程只与系统状态的变化有关，而与攻击的过程无关。状态转移

分析方法能检测到协同攻击和慢攻击；能在攻击行为尚未到达入侵状态时检测到该攻击行为，从而及时采取相应措施阻止攻击行为。状态转换图给出了保证攻击成功的特征行为的最小子集，能检测到具有相同入侵模式的不同表现形式。状态转移分析方法中状态对应的断言和特征行为需要手工编码，在用于复杂的入侵场景时会存在问题。

3.其他检测方法

其他的误用检测方法有基于有色Petri(CP)-Net的误用检测及基于键盘监控的误用检测等。

误用检测的优点为：攻击检测的准确率高；能够识别攻击的类型。误用检测的缺点为：只能检测已知

攻击；滞后于新出现的攻击，对于新的攻击，仅在其包含进攻击特征库后才能检测到；攻击特征库维护困难，新攻击出现后需由专家根据专业知识抽取攻击特征，不断更新攻击特征库；攻击者可通过修改攻击行为，使其与攻击特征库中的特征不相符，从而绕过检测。

误用检测和异常检测各有优缺点，具有一定的互补性。通常检测系统为提高入侵检测性能，将这两种

技术结合以实现入侵检测。