你在这个指南中将学到：签名和异常检测的优点和弱点以及这两种检测方法如何相互补充。

　　在购买入侵检测系统的过程中，一个决策的关键点通常是入侵检测系统采用签名还是异常检测引擎。最初厂商了解两种方法的优点并且把这两种方法都集成到入侵检测系统中。理解签名和异常检测这两种方法的优点和弱点揭示了它们是如何相互补充的。

　　签名检测

　　签名检测包括在网络通信中搜索一系列字节或者数据包队列以查找已知的恶意程序。这种检测方法的最大的好处是，如果你清楚你想要找出的网络行为，这种签名就很容易开发和理解。例如，你可以利用一个签名寻找在一个可利用的安全漏洞中的特定的字符串来检测利用特定的缓存溢出安全漏洞实施攻击的企图。这个由基于签名的入侵检测系统产生的事件能够传达什么导致了报警。模式匹配在现代系统上能够很快完成，因此对于确定的一套规则来说，进行这种检查所需要的计算能力是最小的。例如，如果你要保护的系统仅通过DNS、ICMP和SMTP通信，所有的其它签名都将被删除。

　　签名引擎也有自己的弱点。由于签名引擎仅检测已知的攻击，必须为每一种攻击制作一个签名，而且新的攻击还无法检测。由于签名通常是根据正常的表达和字符串设计的，因此，签名引擎还会出现不正确的检测结果。这两种机制只是在线路上传输的数据包中检测字符串。

　　虽然签名对于检测以固定方式实施的攻击很成功，但是对于人工制作的或者具有自我修正行为功能的蠕虫发起的多种形式的攻击的检测就有些力不从心。有些利用安全漏洞允许恶意用户把攻击隐藏在“nop 发生器”、负载编码器和加密数据通道的后面，使检测更加复杂。由于必须为每一种攻击的变体制作一个新的签名，而且随着规则的增加检测系统的运行速度将减缓，因此，签名引擎检测这些变化的攻击的整体能力将受到影响。这就是大多数入侵检测系统都使用2路服务器至8路服务器并且配置许多GB网卡的原因。

　　实际上，基于签名的入侵检测系统可以归结为攻击者和入侵检测系统签名开发商之间的军备竞赛。这场竞赛的关键是签名编写和应用到入侵检测引擎中的速度。