优点是针对不同操作系统特点捕获应用层入侵,误报少;
缺点是依赖于主机及其审计子系统,实时性差。
包括:
1、监视、分析用户及系统活动;审计系统构造和弱点;
2、识别、反映已知进攻的活动模式,向相关人士报警;
3、统计分析异常行为模式;
4、评估重要系统和数据文件的完整性;
5、审计、跟踪管理操作系统,识别用户违反安全策略的行为。
是对用户历史行为建立模型。根据该模型,当发现有可疑的用户行为发生时保持跟踪,并监视和记录该用户的行为。这种方法的优越性在于它应用了成熟的概率统计理论;
缺点是由于用户的行为非常复杂,因而要想准确地匹配一个用户的历史行为非常困难,易造成系统误报、错报和漏报;
定义入侵阈值比较困难,阈值高则误检率增高,阈值低则漏检率增高。
用户数据报协议(UserDatagramProtocol,UDP)是一个面向数据报的传输层协议。UDP协议的规则:如果接收到一份目的端口并没有处于侦听状态的数据报,则发送一个ICMP端口不可到达报文,否则不作任何响应。
缺点:
1)这种方法很不可靠,因为路由器和防火墙都有可能丢弃UDP数据报。
2)逐一扫描UDP端口通常是很慢的,因为RFC1812的4.3.2.8节对路由器产生ICMP错误消息的速率作了规定。
优点:它可以使用IP广播地址,如果向广播地址的高端端口发送一个UDP数据报,在没有防火墙过滤的情况下,将收到很多来自目标网络的ICMP端口不可到达的错误消息。当然,这也可能造成扫描者出现自己的DoS。