哪种方法最适合IDS :启发式的还是基于签名的?
哪种方法最适合IDS :启发式的还是基于签名的?
提问于 2016-01-18 16:54:55
在基于签名的IDS中:它维护可能指示特定攻击类型的签名的数据库。
问题:
- 为了不匹配现有攻击签名而专门构造的新攻击。
- 精心设计通信量的攻击者可以访问我们正在使用的IDS工具,并且可以测试针对它们的攻击,以便具体地避免我们的安全措施。
基于启发式检测(异常)的IDS:启发式入侵检测不是寻找匹配,而是寻找异常行为。获取网络上正常流量和活动的基线。
问题:
- 基于IDSes的比较签名出现了大量的假阳性。
- 如果网络上的流量与我们获取基线时的流量相比发生了变化,IDS可能会将其视为对导致异常流量模式的合法活动的攻击。
所以总的来说,我应该选择哪一种呢?
回答 1
Security用户
发布于 2016-01-18 17:06:47
所以总的来说,我应该选择哪一种呢?
您应该更喜欢能够处理日志、需要多少安全性以及您可以投入多少时间来处理假阳性的日志。
静态签名将无法捕获新的攻击,但通常有较少的假阳性。启发式可能会捕获更多的新恶意软件,但这通常会带来更高的假阳性率。您需要查看日志,并确定这是否是一个真正的积极(即攻击)。如果你不能做到这一点,那么启发式可能只会在访问无害站点时出现。
除此之外,启发式通常不会单独使用,因为它们可能能够检测到没有签名但无法检测有签名的攻击的攻击。因此,它们通常与静态签名一起使用。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/111037
复制相关文章
相似问题
腾讯云开发者
