异常检测与误用检测的简单对比

我的理解是:

  1. 异常检测就是建立一个主体正常活动的模型,不符合这个模型的就告警;误用检测/滥用检测就是建立一个主体异常活动的模型,只有符合这个模型的才会告警;
  2. 异常检测就像建立一个白名单,不在这个名单里的统统毙掉;误用检测就像建立一个黑名单,在这个名单里的才会毙掉;
  3. 根据道哥的《白帽子讲Web安全》,白名单一般比黑名单好,虽然误报率可能会更高,但漏报率会更少,能用白名单还是用白名单比较好;
  4. 类比到法律的话,法律则是比较接近黑名单的思想,法无禁止皆可为。

你可能感兴趣的:(感想,安全)