现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以判别更广范、甚至未发觉的攻击。
当然,'IDS'也有一个缺点,由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对自身的攻击时,对其他传输的检测也会被抑制,那就是意味着IDS会对一些高速率的控制信号进行虚警,只不过现在不管是M国还是夏国,亦或是其他采用这种安全防护手段的国家,基本上都对IDS进行了改进,使之适应现在的网络攻防形势。
总之,不管是夏国还是M国,一直都没有放弃