昨日，和一同行讨论入侵检测研究的热点问题，感觉传统的入侵检测研究到了一个瓶颈。我所说的传统入侵检测是指直接通过分析主机、网络的某一类数据来检测入侵，像利用数据挖掘分析网络流量来检测网络攻击，利用系统调用数据来检测主机入侵。误用检测原理简单，局限性也明显，技术应用最为广泛，但理论方法研究的不多。异常检测理论方法研究的多，但准确性离实际应用仍有较大差距，可能对DDoS之类的攻击检测效果较为明显。像基于系统调用的异常检测、利用网络流量异常检测入侵都目前都很难有突破。2000年前后比较火的计算机免疫系统，目前也没什么突破性进展，近年来国际上相关报道也不多。
感觉入侵检测相关研究热点逐步转向传统入侵检测的两端：检测规则的自动提取和检测结果的关联分析。前者是针对目前误用检测仍是最实用的方式，但其关键在于提取规则难度高，像恶意代码分析、Autograp/polygraph之类的流量特征分析，都是针对这一目标；后者主要是针对大规模网络中如何对单一节点的检测结果进行综合分析与响应，提高大规模网络中的网络攻击预警与协同防护能力。

转载本文请联系原作者获取授权，同时请注明本文来自苏璞睿科学网博客。
链接地址：https://m.sciencenet.cn/blog-242127-225327.html


下一篇：关于研究生招生