几种常见检测思路的特点

特征检测

应用广泛(防病毒、网络设备、……)技术原理简明易懂,实现不太难。需要有样本持续积累(各种漏洞库、恶意代码库)作为检测的依据。样本分析、积累成本和制造样本成本不对称时,攻击方可以制造大量样本 DoS 防守方的样本分析、检测资源,造成特征检测不可用。

基于信誉

目前逐渐开始广泛应用(防病毒、网络设备、……),技术原理也比较简明易懂,实现也不太难。需要有检测的基础能力,并积累时间、IP、域名、URL、文件等其他纬度的数据(信誉库)。首先,信誉很高的对象一次恶意的行为可能无法通过信誉判断(例如,一个良好信誉的人一次性恶意透支所有信用卡限额),其次信誉库需要积累,而且存在覆盖度不够的情况,再次,攻击方同样可以
DoS 检测能力。

基于行为

对正常的行为模式进行建模,不符合模型的被判断为可疑,进一步判断后用于完善正常行为模型。应用范围有限,技术复杂度高,实现比较困难。找到普适的建模方法比较困难。工程上可能一开始就不具备建模的纯正常行为的环境,如何得到正常行为的模型也比较困难。模型判断为可疑,如何进一步判断实际上往往还需要前面几种检测方法参与,最终也很难实现自动化。