基于知识的入侵检测系统与基于行为的入侵检测系统的区别

Question

我很难理解基于知识的入侵检测系统和基于行为的入侵检测系统的区别。

这个链接说，基于知识的入侵检测系统使用特定攻击和系统漏洞的数据库，我认为这是黑名单方法。但是使用白名单的IDS呢？这个IDS仍然是一个基于知识的IDS吗？(还是基于行为的IDS?)

下面是一个简单IDS的例子，有人能告诉我这个IDS是基于知识的IDS还是基于行为的IDS？

示例：

一个简单的IDS有一个所有允许的人员的白名单。而白名单看起来像[alice, bob]。

当爱丽丝或鲍勃来的时候，没有警报。但是当杰克来的时候，入侵警报就被触发了。

(您还可以认为alice、bob和jack是网络数据包ID)

那么，基于知识的？以行为为基础？

Answer 1

基于知识就像一个基于签名的反病毒:你填充一个数据库的“坏”，并寻找这些东西。

行为为基础的学习什么是正常的网络随着时间的推移，然后提醒的东西是“奇怪的”。

您的白名单方法仍然是“基于知识的”，因为您填充了白名单数据库。一种基于行为的方法可以通过观察流量来了解Alice和Bob是正常用户。