【評論主題】35 下列何種方式對偵測變種或新型態攻擊(novel attack)最為有效?(A)特徵比對(signature matching)(B)異常偵測(anomaly detection)(C)字典比對(
【評論內容】
異常偵測(anomaly detection)
先對正常的使用者或網路流量建立一個描述「正常」行為的行為資料庫,再對通過的封包進行比對,若超過正常行為的門檻值,則可以視為入侵行為。優點為可偵測出未知型態的入侵,但通常誤報率較高