計(jì)算機(jī)網(wǎng)絡(luò)誤用人侵檢測(cè)方法

　　誤用入侵檢測(cè)( Misuse Detection)方法是指，運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。誤用人侵檢測(cè)的主要假設(shè)是能夠精確地按某種方式編碼攻擊方法，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于某一弱點(diǎn)的攻擊方法的變種。入侵模式說(shuō)明了那些導(dǎo)致安全事件或其他無(wú)用的事件中的特征、條件、排列和關(guān)系。一個(gè)不完整的模式可能表明存在入侵的企圖，模式構(gòu)造有多種方式。常用的誤用人侵檢測(cè)方法有以下5種。
　　1)條件概率誤用入侵檢測(cè)方法。
　　2)專(zhuān)家系統(tǒng)誤用入侵檢測(cè)方法。
　　3)狀態(tài)遷移分析誤用入侵檢測(cè)方法。
　　4)鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法。
　　5)模型誤用入侵檢測(cè)方法。
　　由于大部分的入侵是利用了已知的系統(tǒng)脆弱性，因而通過(guò)分析入侵過(guò)程的特征、條件、順序以及事件間的關(guān)系，可以具體描述入侵行為的跡象。誤用入侵檢測(cè)方法有時(shí)也被稱(chēng)為特征分析方法( Signature Analysis)或基于知識(shí)的檢測(cè)方法(Knowledge – based Detection)。這種方法由于依據(jù)具體特征庫(kù)進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高，并且因?yàn)闄z測(cè)結(jié)果有明確的參照，也為系統(tǒng)管理員采取相應(yīng)措施提供了方便。
　　誤用入侵檢測(cè)方法的主要缺陷在于檢測(cè)范圍受已知知識(shí)的局限。另外，檢測(cè)系統(tǒng)對(duì)目標(biāo)系統(tǒng)的依賴(lài)性太強(qiáng)，不但系統(tǒng)移植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識(shí)也很困難。對(duì)于某些內(nèi)部人員的入侵行為，如合法用戶(hù)的泄漏，由于這些行為并沒(méi)有利用系統(tǒng)脆弱性，因此誤用檢測(cè)也顯得無(wú)能為力。
　　誤用檢測(cè)和異常檢測(cè)各有優(yōu)勢(shì)，又都有不足之處。在實(shí)際系統(tǒng)中，考慮到兩者的互補(bǔ)性，往往將它們結(jié)合在一起使用。通常的做法是將誤用檢測(cè)用于網(wǎng)絡(luò)數(shù)據(jù)包，將異常檢測(cè)用于系統(tǒng)日志。