基于异常的IDS与基于协议状态的IDS

Question

他们之间有什么区别吗？在google上，我可以找到很多关于基于异常的IDS的描述。但是我找不到任何关于基于协议状态的入侵检测系统的描述。

Answer 1

正如您可能已经发现的，基于异常的入侵检测系统的工作方式是开发一个正常活动的概要文件，并标记偏离其配置文件的“攻击流量”。这类IDS的缺点之一是它可能有很高的误报率；也就是说，它可能不正确地报告发生了攻击。

基于协议的入侵检测系统(PIDS)采用了不同的方法.具体来说，它们安装在web服务器上，用于监视和分析该计算系统使用的协议(而不是它构建的正常活动的概要文件)。这里的优点是协议定义相对较好(与“正常活动”配置文件相比)，因此可以更准确地创建正常用例。一个例子是监视HTTP/HTTPS流。缺点是，这会增加web服务器上的计算量，但会提供更大的保护。

本文很好地解释了协议异常检测：https://www.sans.org/reading-room/whitepapers/detection/protocol-anomaly-detection-network-based-intrusion-detection-349