當(dāng)發(fā)現(xiàn)有與某種攻擊特征匹配的分組或分組序列時,則認(rèn)為可能檢測到某種入侵行為。ADF4111BRUZ這些特征和規(guī)則通常由網(wǎng)絡(luò)安全專家生成,機(jī)構(gòu)的網(wǎng)絡(luò)管理員定制并將其加入到數(shù)據(jù)庫中。基于特征的Ds只能檢測已知攻擊,對于未知攻擊則束手無策。基于異常的IDs通過

觀察正常運(yùn)行的網(wǎng)絡(luò)流量,學(xué)習(xí)正常流量的統(tǒng)計(jì)特性和規(guī)律,當(dāng)檢測到網(wǎng)絡(luò)中流量某種統(tǒng)計(jì)規(guī)律不符合正常情況時,則認(rèn)為可能發(fā)生了入侵行為。例如,當(dāng)攻擊者在對內(nèi)網(wǎng)主機(jī)進(jìn)行,ng搜索時,或?qū)е翴CMP ping報(bào)文突然大量增加,與正常的統(tǒng)計(jì)規(guī)律有明顯不同。但區(qū)分正常流和統(tǒng)計(jì)異常流是一個非常困難的事情。至今為止,大多數(shù)部署的DS主要是基于特征的,盡管某些IDs包括了某些基于異常的特性。不論采用什么檢測技術(shù)都存在“漏報(bào)”和“誤報(bào)”情況。如果“漏報(bào)”率比較高,則只能檢測到少量的入侵,給人以安全的假象。對于特定IDs,可以通過調(diào)整某些閾值來降低“漏報(bào)”率,但同時會增大“誤報(bào)″率�！罢`報(bào)”率太大會導(dǎo)致大量虛假警報(bào),網(wǎng)絡(luò)管理員需要花費(fèi)大量時間分析報(bào)警信息,甚至?xí)驗(yàn)樘摷倬瘓?bào)太多而對報(bào)警“視而不見”,使DS形同虛設(shè)。