Intrusion Detection Systems ( IDS ) beeldscherm computer systeem ( of netwerk) evenementen voor mogelijke tekenen van incidenten , waaronder bedreigingen van de veiligheid , zoals malware . IDS werken bij het vinden en identificeren van problemen, maar werken niet om ze te corrigeren . Correctie gebeurt door Intrusion Prevention Systems ( IPS ) . De inbraakdetectie types variëren afhankelijk van hoe ze erkennen mogelijke problemen en hoe efficiënt dat proces uitvoert . Handtekening gebaseerde detectie
Handtekeningen
overeenkomt met een bekende dreiging worden handtekeningen genoemd . De handtekening gebaseerde detectiemethode vergelijkt handtekeningen met gebeurtenissen geobserveerd om eventuele dreiging incidenten lokaliseren . Een eenvoudig voorbeeld van een handtekening is een e-mail met een verdachte titel en gehechtheid die waarschijnlijk een virus bevat .
Dit intrusion detectie blijkt effectief bij de behandeling van bekende bedreigingen , maar vaak faalt bij de aanpak van onbekende bedreigingen nog nooit eerder tegengekomen . Met behulp van de e-mail weer het voorbeeld , zal deze methode slechts een virus dreiging herkennen als de bijlage of titel via het systeem eerder was overleden. Deze methode ontbreekt ook een mogelijkheid om een systeem brede aanval merken als er geen stappen in de aanval proces bevatten een handtekening die de methode kan herkennen .
Anomaly Detection Based
Anomaly
gebaseerde detectie vergelijkt definities van de normale activiteit aan waargenomen gebeurtenissen geacht worden aanzienlijke afwijkingen van de normale . Deze methode slaat profielen vertegenwoordigen normale gedrag van het systeem aspecten waaronder toepassingen , hosts , gebruikers en netwerkverbindingen .
De profielen worden opgebouwd door middel van toezicht op de normale activiteit gedurende een ingestelde tijdsduur . Het systeem maakt gebruik van deze profielen , en statistische analyse , om te bepalen wanneer nieuw gedrag een anomalie zou kunnen duiden . Profielen zouden kunnen gelden voor het aantal verzonden e-mails , gemiddelde bandbreedte gebruikt , of het gemiddeld aantal mislukte aanmeldingen door de gastheer .
De positieve kant van dit intrusion detectie is de mogelijkheid om onbekende bedreigingen te detecteren . Op efficiëntie te handhaven , moeten periodieke updates van de profielen gebeurt op de set normale bereik nauwkeurig te houden . Zwakke punten in deze methode zijn dat een hacker uitvoeren ongewenste activiteit kan worden opgemerkt als hij klein genoeg veranderingen gedurende de tijd dat de statistische analyse voorbij de fluctuatie normaal . Dergelijke subtiele kwaadaardige activiteiten kunnen ook worden opgenomen in de eerste profielen en dus opgenomen in de set normale basis .
Stateful Protocol Analysis
De intrusion detection methode stateful protocol analyse vergelijkt set profielen van algemeen gedefinieerd goedaardige activiteiten voor elk protocol staat om de waargenomen afwijking gebeurtenissen . Dit verschilt van anomalie gebaseerde detectie in dat de voormalige heeft profielen die specifiek zijn voor de host of netwerk , terwijl de stateful protocol analyse maakt gebruik van universele profielen ontwikkeld door de verkoper . Deze profielen definiëren van de juiste toepassingen voor specifieke protocollen .
Deze methode begrijpt en volgt het netwerk staat , vervoer , en state -bewuste applicatie protocollen . Dit wordt geïllustreerd wanneer een gebruiker een sessie van File Transfer Protocol ( FTP ) , die begint in een toestand van unauthentication voordat de gebruiker zich aanmeldt en verifieert het proces begint . Typische gebruikers slechts een paar taken in de niet-geverifieerde staat ( bekijk de hulpgids , log in ) uit te voeren met de meeste activiteit die plaatsvindt na inloggen inch De stateful protocol analyse zou letten op verdachte hoeveelheden activiteit in de niet-geverifieerde staat en de vlag van dat als een potentiële probleem .
|
