Generali intrusioni metodi di rilevamento

December 9

Generali intrusioni metodi di rilevamento


Anita Jones e Robert Sielken, nel loro articolo "Computer System Intrusion Detection: A Survey", ". Quando un utente di un sistema informativo prende un'azione che l'utente non era legalmente permesso di prendere" stato che si verifica un'intrusione

Anche se l'azione illegale presa da parte dell'utente è stata fatta per errore, un sistemi o amministratore di rete diventerà preoccupato a causa del rischio di danni per l'integrità di un sistema e l'accessibilità per altri utenti. Rilevare un'intrusione è quindi di vitale interesse, e cinque metodi di rilevamento delle intrusioni generale hanno preso forma all'interno delle scienze informatiche: uso improprio, anomalia, basata su rete basata su host, e fisico.

Abuso metodi di rilevamento

metodi di rilevamento L'abuso si concentrano sul monitoraggio di note "firme di attacco." Cioè, un'intrusione o attacco richiede tipicamente un piccolo sottoinsieme di passi, utilizzato da un aggressore, al fine di completare l'attacco. Questi passaggi formano una particolare "firma di attacco," e possono quindi essere esaminati.

Al centro la nozione di "uso improprio" viene prima di definire e comprendere i metodi di attacco attuali che possono verificarsi a un host o una rete. Questa collezione costituisce un catalogo di firme di attacco che vengono poi monitorati per sotto la presunzione che le attività non firma qualificano come "normale".

Anomaly metodi di rilevamento

metodi di rilevamento delle anomalie sono simili ad abusare metodi di rilevamento, ma lavorare in senso inverso. Cioè, un catalogo di attività "normale" è definito e utilizzato come filtro contro tutte le attività monitorate. Qualsiasi attività che si verificano al di fuori del catalogo viene considerato un'anomalia, e quindi un potenziale intrusione o attacco.

Metodi di rilevamento basati su host

Host-based metodi di rilevamento centro attorno al monitoraggio delle attività che si verificano su un computer specifico, o "host". Efficace rilevamento delle intrusioni host-based è completato attraverso una combinazione di software e interazione umana diretta. Il monitoraggio comprende la creazione e la revisione dei registri di file e di sicurezza, nonché assicurando che un attaccante non è fisicamente cambiato un sistema, al fine di evitare di essere rilevato o completare un attacco.

Metodi di rilevamento basati sulla rete

rilevamento basato sulla rete si concentra sul traffico di rete e dei dispositivi che controllano o regolano. Essi cercano di rilevare le intrusioni filtrando e l'analisi dei pacchetti, in genere confrontandole con le firme di attacco noti. Quando un pacchetto corrisponde a una firma, il software o hardware possono prendere automatizzato, misure preventive, o bandiera i pacchetti in un registro per ulteriori analisi da un operatore umano.

Metodi di rilevamento fisiche

metodi di rilevamento fisici vengono utilizzati per monitorare l'accesso fisico e l'uso, ad esempio attraverso le telecamere di sicurezza,-key card e sistemi di accesso biometrici. Tradizionalmente, la maggior parte dei sistemi di rilevamento delle intrusioni fisiche hanno servito più come un servizio di prevenzione - come ad esempio impedendo l'accesso dopo un tentativo di key-card fallito - o come un "dopo il fatto" log di attività fisica su un dispositivo host o rete. In termini di rilevamento delle intrusioni, questi metodi hanno spesso dimostrato di maggior valore, come le misure di medicina legale e di indagine che in tempo reale intrusione rilevazione stessa.