Intrusion Detection Systems (IDS) Monitor Computersystem ( oder Netzwerk) Veranstaltungen auf mögliche Anzeichen von Vorfällen einschließlich der Sicherheits- Bedrohungen wie Malware . IDS arbeiten zu finden und Probleme zu identifizieren , aber nicht arbeiten, um sie zu korrigieren. Korrektur erfolgt durch Intrusion Prevention Systems (IPS) . Die Intrusion-Detection- Arten variieren je nachdem, wie sie potenzielle Probleme erkennen und wie effizient dieser Prozess führt . Signatur basierte Erkennung
Signaturen entsprechend einer bekannten Bedrohung genannt Unterschriften . Die Signatur basierte Erkennung Methode vergleicht Signaturen mit Ereignissen beobachtet , um mögliche Bedrohung Vorfälle genau zu bestimmen. Ein einfaches Beispiel für eine Signatur ist eine E-Mail mit einem verdächtigen Titel und Befestigung , die wahrscheinlich einen Virus enthält .
Intrusion Detection Art bewährt sich im Umgang mit bekannten Bedrohungen aber oft nicht , wenn es um unbekannte Bedrohungen nie zuvor begegnet . Mit der E-Mail- Beispiel wieder , wird diese Methode nur dann anerkennen, ein Virus bedroht , wenn die Anlage oder Titel durch das System geleitet hatte. Diese Methode fehlt auch die Fähigkeit, ein System breit Angriff bemerken, wenn keine Schritte in Angriff Prozess enthalten eine Signatur , dass die Methode erkennen kann.
Anomaly Detection- Based
Anomaly basierte Erkennung vergleicht Definitionen der normalen Aktivität zu beobachten Veranstaltungen als auch zu erheblichen Abweichungen von der normalen sein . Diese Methode speichert Profile repräsentieren normale Verhalten des Systems Aspekte, einschließlich Anwendungen , Hosts, Benutzer -und Netzwerk- Verbindungen.
Die Profile werden durch die Überwachung normalen Aktivität über einen festgelegten Zeitraum hinweg gebaut . Das System verwendet diese Profile , und die statistische Analyse , um festzustellen, wann neue Verhaltensweisen eine Anomalie hinweisen könnte . Profile können auf die Anzahl der E-Mails gelten , verwendet durchschnittliche Bandbreite , oder die durchschnittliche Anzahl von fehlgeschlagenen Logins durch den Host .
Die Plus-Seite des Intrusion-Detection- Typ ist die Fähigkeit, unbekannte Bedrohungen zu erkennen . Um die Effizienz zu erhalten, müssen regelmäßige Updates der Profile passieren , damit die eingestellten normalen Bereich genau. Schwachstellen in diesem Verfahren gehört die Tatsache, dass ein Hacker Durchführung schädliche Aktivität nicht aufgefallen , wenn er klein genug, Veränderungen über einen Zeitraum von der Zeit, dass die statistische Analyse der Fluktuation als normal macht missachtet werden. Solche subtilen bösartige Aktivitäten könnte auch in den ersten Profile aufgenommen werden und somit in den normalen Satz mit einbezogen.
Stateful Protocol Analysis
Die Intrusion-Detection- Verfahren Stateful- Protokoll-Analyse vergleicht die eingegebenen Profile der allgemein definierten gutartigen Aktivitäten für jedes Protokoll Staat beobachtete Abweichung Veranstaltungen. Dies unterscheidet sich von Anomalie basierte Erkennung , dass die erstere hat spezifische Profile zum Host oder -Netzwerk , während die Stateful- Protokoll-Analyse verwendet universelle Profile durch den Anbieter entwickelt. Diese Profile definieren die geeigneten Anwendungen für bestimmte Protokolle .
Diese Methode versteht und verfolgt Netzwerkstatus , Transport und state- fähige Anwendung Protokolle . Dies wird beispielhaft dargestellt , wenn ein Benutzer eine Sitzung beginnt der File Transfer Protocol ( FTP) , die in einem Zustand der unauthentication beginnt, bevor sich der Benutzer authentifiziert und das Verfahren. Typische Anwender nur einige Aufgaben in dem nicht authentifizierten Zustand (sehen Sie die Hilfefunktion, einloggen ) mit den meisten Aktivitäten statt nach log in. Die Stateful- Protokoll-Analyse würde auf verdächtige Mengen von Aktivität in dem nicht authentifizierten Zustand und Flagge zu sehen , dass als mögliche Problem.
