试题三

入侵检测（Intrusion Detection System，IDS）是从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素，并可对威胁做出相应的处理。

【问题1】（6分）

（1）异常检测：也称基于行为的检测，把用户习惯行为特征存入特征库，将用户当前行为特征与特征数据库中存放的特征比较，若偏差较大，则认为出现异常。

（2）误用检测：通常由安全专家根据对攻击特征、系统漏洞进行分析形成攻击模式库，然后手工的编写相应的检测规则、特征模型。

异常检测和误用检测是入侵检测系统的两种常用技术。异常检测主要关注用户行为模式的异常变化，通过比较实际行为与正常行为模型来识别入侵。误用检测则依赖于对已知攻击特征和模式的识别，通过匹配攻击模式库中的规则来检测入侵行为。两种技术各有优势，异常检测能够发现未知的入侵行为，而误用检测则对已知的攻击行为具有较高的检测率。