Typy detekcie narušenia

systémy detekcie prienikov ( IDS ) sledovať počítačový systém ( alebo sieť ) akcie pre prípadné známky incidentov , vrátane bezpečnostných hrozieb , ako je malware . IDS pracovať na nájdenie a identifikáciu problémov , ale nefungujú na ich nápravu . Oprava nastane cez Intrusion Prevention Systems ( IPS ) . Typy detekcie vniknutia líšiť v závislosti na tom , ako rozpoznať potenciálne problémy a ako efektívne tento proces vykonáva . Podpis základe detekcie

Podpisy zodpovedajúce známe hrozby sa nazývajú podpisy . Metóda detekcie podpisom založeným porovnáva podpisy s účinkami pozorovanými určiť prípadné incidenty hrozieb . Jednoduchý príklad podpisu je e - mail s podozrivou názvom a prílohu , ktorá pravdepodobne obsahuje vírus .

Tento typ detekcie narušenia ukáže efektívny pri rokovaní so známymi hrozbami , ale často zlyháva pri riešení neznámych hrozieb nikdy nestretol . Znova pomocou e - mailovej príklad , bude táto metóda rozpozná iba vírus hrozba , ak príloha alebo názov prešiel v systéme predtým . Táto metóda tiež chýba schopnosť všimnúť systémový široký útok, ak v procese útoku žiadne kroky obsahovať podpis , ktorý spôsob je možné rozpoznať .
ClipArt Anomaly Detection Based

anomálie detekcia založená porovnáva definície bežnej činnosti na pozorovaných udalostí , ktoré sú považované za výrazné odchýlky od normálu . Táto metóda ukladá profily reprezentujúci normálne správanie aspekty systému , vrátane aplikácií , hostiteľov , užívateľov a sieťových pripojení .

Profily sú vytvorené prostredníctvom sledovania bežnej činnosti po nastavenú dobu . Systém používa tieto profily a štatistické analýzy , aby sa zistilo , kedy nové správanie môže znamenať anomáliu . Profily sa môžu vzťahovať na množstvo e - mailov odoslaných , priemerná šírka pásma použitého , alebo priemerného počtu neúspešných prihlásení od hostiteľského .

A strana tohto typu detekcie narušenia je schopnosť odhaliť neznáme hrozby . Ak chcete zachovať účinnosť , pravidelné aktualizácie profilov sa musí stať , aby sa nastavené normálne rozmedzí presné . Slabé stránky v tejto metódy patrí skutočnosť , že hacker plnenie negatívne činnosť nesmie byť si všimol , keď robí cez obdobie v čase, keď štatistická analýza prehliada fluktuáciu ako obvykle dosť malé zmeny . Také jemné škodlivá aktivita môže byť tiež súčasťou prvých profilov a teda boli zahrnuté do nastavenej normálne základne .
Stateful Protocol Analysis

metóda detekcie vniknutia stavová analýza protokolu porovnáva nastavené profily z všeobecne definovaných benígnych aktivít pre každý protokol štátu na pozorovaných odchýlok udalosti . Tým sa líši od detekcie anomálií na základe v tom , že bývalý má profily špecifické pre hostiteľa alebo siete , zatiaľ čo analýza stavové protokol používa univerzálny profily vyvinuté dodávateľa . Tieto profily definujú správne využitie pre jednotlivé protokoly .

Táto metóda chápe a sleduje stav siete , dopravy a štátne - aware aplikačných protokolov . Toto je ilustrované , keď používateľ začne zasadnutie File Transfer Protocol ( FTP ) , ktorý začína v stave unauthentication ako sa používateľ prihlási a overuje proces . Typickými užívateľovi vykonávať iba niekoľko úloh v neoverený stave ( zobraziť Nápovedu , prihláste) väčšina činností odohráva po prihlásení dovnútra analýza stavové protokolu by sledovať podozrivé množstvo činností v neoverený štátu a vlajkou , ktorá ako potenciál problém .

• Predchádzajúca strana: Ako testovať DDNS 
• Ďalšia strana: AT & T Air karta nebude Zostaňte v spojení