Netzwerk Intrusion Detection Systeme überwachen den Verkehr auf einem Netzwerk , um unbefugten Zugriff zu identifizieren. Ein Verfahren für den Nachweis verwendet wird Anomalie -basierte Intrusion Detection , die für unregelmäßige Nutzung von Netzwerkressourcen aussieht. Merkmale
Anomalie-basierte NIDs Arbeit auf dem Prinzip, dass der Eindringling nicht in das Netzwerk, um eine regelmäßige Arbeit . Alle autorisierten Zugriff hat einen Zweck im Zusammenhang mit der Funktion der Organisation eines Netzes und so wird ein regelmäßiges Muster zu folgen. Der Eindringling Aktivitäten passen nicht in das Muster.
Methode
Eine neu installierte Anomalie -basierte NID braucht Zeit, um Informationen über regelmäßige Tätigkeit in einem Netzwerk zu sammeln. Diese Lernphase erzeugt einen Ausgangswert in Form einer statistischen Darstellung der aufgezeichneten Aktivität . Sobald die Grundlinie wurde festgestellt , generiert das NID eine Benachrichtigung , wenn Aktivität weicht vom normalen Muster erkannt .
Probleme
Anomalie-basierte NIDs brauchen eine Weile, Statistiken über "normale" Netzwerk-Aktivität zu sammeln. Während dieser Zeit ist das System unkontrolliert und anfällig für Angriffe. Ein Angriff unentdeckt bis Ende Mai in der Auswertung der normalen Aktivität enthalten , wodurch die Wirksamkeit der Strategie .
