Tipi di rilevamento delle intrusioni

August 27

Tipi di rilevamento delle intrusioni


Sistemi di rilevamento delle intrusioni (IDS) Monitor di sistema del computer (o di rete) eventi per eventuali segni di incidenti, tra cui le minacce alla sicurezza, come ad esempio il malware. IDS lavorano a trovare e identificare i problemi, ma non funzionano per correggerli. Correzione avviene attraverso sistemi di prevenzione delle intrusioni (IPS). I tipi di rilevamento delle intrusioni variano a seconda di come essi riconoscono i potenziali problemi e come in modo efficiente questo processo svolge.

Firma di rilevamento base

Le firme corrispondenti a una minaccia nota sono chiamati firme. Il metodo di rilevamento basato su firma confronta le firme con eventi osservati per individuare eventuali incidenti minaccia. Un semplice esempio di una firma è una e-mail con un titolo sospetto e l'attaccamento che probabilmente contiene un virus.

Questo tipo di rilevamento delle intrusioni dimostra efficace quando si tratta di minacce note, ma spesso non riesce al momento di affrontare le minacce sconosciute mai incontrato prima. Utilizzando ancora una volta l'esempio e-mail, questo metodo riconoscerà solo una minaccia virus se l'allegato o il titolo erano passati attraverso il sistema prima. Questo metodo manca anche la capacità di notare un'ampia attacco sistema se non passi nel processo di attacco contengono una firma che il metodo può riconoscere.

Anomaly Detection base

rilevamento basato anomalia confronta definizioni di attività normale per eventi osservati ritenuti notevoli deviazioni dal normale. Questo metodo memorizza i profili che rappresentano il normale comportamento degli aspetti del sistema, tra cui applicazioni, host, gli utenti e le connessioni di rete.

I profili sono costruite attraverso il monitoraggio normale attività su una lunghezza di tempo. Il sistema utilizza questi profili e analisi statistiche, per determinare quando nuovi comportamenti potrebbe indicare un'anomalia. I profili possono applicarsi a numero di email inviate, larghezza di banda media utilizzato, o il numero medio di accessi non riusciti da parte dell'ospite.

Il lato positivo di questo tipo di rilevamento delle intrusioni è la capacità di rilevare le minacce sconosciute. Per mantenere l'efficienza, aggiornamenti periodici dei profili devono accadere per mantenere il set-range di normalità accurata. I punti deboli in questo metodo includono il fatto che un hacker svolgimento dell'attività negativo non può essere notato se fa piccoli cambiamenti abbastanza per un periodo di tempo che l'analisi statistica non tiene conto della fluttuazione come normale. Tale attività dannose sottile potrebbe anche essere incluse nei profili iniziali e quindi incluso nel set di base normale.

Analisi protocollo stateful

Il metodo di rilevazione intrusione di analisi di protocollo stateful confronta i profili insieme di attività benigne generalmente definite per ogni stato di protocollo per eventi deviazione osservati. Questo differisce dal rilevamento basato anomalia che il primo ha profili specifici per l'host o alla rete mentre l'analisi di protocollo stateful utilizza profili universali sviluppati dal venditore. Questi profili definiscono gli usi appropriati per particolari protocolli.

Questo metodo capisce e tiene traccia dello stato della rete, dei trasporti, e protocolli di applicazione di stato-aware. Questo è esemplificato quando un utente inizia una sessione di File Transfer Protocol (FTP), che inizia in uno stato di unauthentication prima l'utente accede e autentica il processo. Gli utenti tipici di eseguire solo alcune operazioni nello stato autenticato (vedere la guida di aiuto, il log-in), con più attività che si svolgono dopo il log in. L'analisi di protocollo stateful avrebbe vegliato per importi sospetti di attività nello stato autenticato e la bandiera che come un potenziale problema.