题目
7. 异常入侵检测是基于( )实现的。 A. 入侵行为特征库B. 正常行为特C. 异常行为特征库D. 误用行为
7. 异常入侵检测是基于( )实现的。
- A. 入侵行为特征库
- B. 正常行为特
- C. 异常行为特征库
- D. 误用行为
题目解答
答案
异常入侵检测是入侵检测系统[1]常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用,从而检测出入侵行为.下面说法错误的是:(B)。
A.在异常入侵检测中,观察到的不是已知的入侵行为,而是系统运行过程中的异常现象。
B.实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生。
C.异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警。
D.异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为。
A.在异常入侵检测中,观察到的不是已知的入侵行为,而是系统运行过程中的异常现象。
B.实施异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生。
C.异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警。
D.异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为。
解析
异常入侵检测的核心在于识别偏离正常行为模式的异常现象,而非依赖已知的入侵特征库。其主要通过建立正常行为的基准模型,将实时行为与该模型对比,发现异常。本题需区分异常检测与误用检测的关键差异:前者关注行为是否异常,后者基于已知攻击特征匹配。错误选项往往混淆这两种机制。
题目要求找出错误描述异常入侵检测的选项。逐一分析如下:
选项A
正确。异常检测的核心是观察未知的异常现象,而非已知的入侵行为。例如,突然的高流量可能触发警报,即使未匹配具体攻击特征。
选项B
错误。此描述属于误用检测的逻辑(基于已知特征匹配),而异常检测不依赖已知特征库,而是通过行为偏离程度判断威胁。因此,B选项混淆了两种检测机制。
选项C
正确。异常检测可通过分析网络状态数据(如流量、登录频率)发现潜在攻击迹象,并报警。例如,检测到异常的登录尝试频率。
选项D
正确。异常检测能发现内部员工的恶意行为(如权限滥用),因为此类行为通常偏离正常模式,而误用检测可能因缺乏特征库而忽略。