用偵測(Misuse Detection)vs異常偵測(Anomaly Detection) 由於本文是介紹網路型入侵偵測系統(NIDS),所以是否遭受攻擊與否只能從封包或連線資訊來做判斷。網路上流動的封包型態多元且數量非常龐大,如何判斷是否為攻擊封包?偵測引擎設計從演算法的觀點來看,可分誤用偵測(Misuse Detection)與異常偵測(Anomaly Detection)兩種。誤用偵測基本上是一種特徵比對(Signature based)演算法的執行,藉建立攻擊定義檔(資料庫),比對封包是否有符合之特徵。這種設計方式的優點是觀念簡單容易,且幾乎不會產生誤報(false alarm)。缺點是定義檔必需不斷更新,因此需要有龐大的後勤支援,且無法偵測未知攻擊(不在定義檔包含內之攻擊)。幾乎所有市面上的入侵偵測系統都屬這類型,因為不會有誤報。 異常偵測是假設攻擊行為必須有別於正常行為,可藉一般機器學習(Machine Learning)的技巧來描述正常的網路行為。一旦網路封包資訊偏離正常行為太遠,就被判斷為攻擊。這類異常行為偵測常使用的技巧包括類神經網路(Neural Networks)、貝式網路(Bayesian Networks)、支向機(Support Vector Machines)、資料探勘(Data Mining)、有限狀態機(Finite State Machine)等。目前文獻上的探討大多是屬於異常行為偵測,因為理論上它可以偵測未知攻擊,不過若是設計不好,則會產生大量的誤報 (false alarm)。 網路入侵偵測系統可運用在各式各樣的網路應用上面,本文列舉兩例說明如下。