異常

當(dāng)有某個(gè)事件與一個(gè)已知攻擊的信號相匹配時(shí)，多數(shù)IDS都會(huì)告警。一個(gè)基于anomaly（異常）的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓，當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí)，IDS就會(huì)告警，例如有人做了以前他沒有做過的事情的時(shí)候，例如，一個(gè)用戶突然獲取了管理員或根目錄的權(quán)限。有些IDS廠商將此方法看做啟發(fā)式功能，但一個(gè)啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能。

• 通信詞典解釋