什么是异常入侵检测？

什么是异常入侵检测？

异常入侵检测假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立正常活动的“规范集（Normal profile）”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。比如CPU使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是：若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象

异常是针对正常来说的
可能是对入侵的另外一种好听的解释吧~