Sistemi di rilevamento delle intrusioni ( IDS ) di sistema del computer monitor ( o di rete) eventi per i possibili segni di incidenti, tra cui le minacce alla sicurezza , come ad esempio malware. IDS lavorare a trovare e identificare i problemi , ma non funzionano per correggerli. La correzione avviene attraverso sistemi di prevenzione delle intrusioni ( IPS ) . I tipi di rilevamento delle intrusioni variano a seconda di come riconoscere potenziali problemi e di come in modo efficiente questo processo svolge . Signature Based Detection
firme corrispondenti a una minaccia nota sono chiamati firme. Il metodo di rilevamento basato su firma confronta firme con eventi osservati per individuare eventuali incidenti potenziali minacce. Un semplice esempio di una firma è una e-mail con un titolo sospetto e l'attaccamento che probabilmente contiene un virus .
Questo tipo di rilevamento delle intrusioni si dimostra efficace quando si tratta di minacce note ma spesso non riesce quando si affrontano le minacce sconosciute mai incontrati prima . Utilizzando ancora l'esempio e-mail , questo metodo riconoscerà solo una minaccia virus se l'allegato o il titolo erano passati attraverso il sistema prima . Questo metodo manca anche la capacità di notare un ampio sistema di attacco se non passi nel processo di attacco contengono una firma che il metodo può riconoscere .
Anomaly Based Detection
Anomaly rilevamento basato confronta definizioni di normale attività per gli eventi osservati ritenuti notevoli deviazioni dal normale . Questo metodo memorizza profili che rappresentano il comportamento normale di aspetti di sistema , incluse le applicazioni , host, gli utenti e le connessioni di rete .
I profili sono realizzati attraverso il monitoraggio dell'attività normale su una lunghezza di tempo. Il sistema utilizza questi profili , e analisi statistiche , per determinare quando i nuovi comportamenti potrebbero indicare un'anomalia . Profili potrebbero applicarsi al numero di email inviate , larghezza di banda media utilizzata , ovvero il numero medio di accessi non riusciti da parte dell'ospite .
Il lato positivo di questo tipo di rilevamento delle intrusioni è la capacità di rilevare le minacce sconosciute . Per mantenere l'efficienza, aggiornamenti periodici dei profili devono accadere per mantenere il range di normalità set accurato . Punti deboli in questo metodo includono il fatto che un hacker eseguendo un'attività avverso non può essere notato se fa abbastanza piccoli cambiamenti in un periodo di tempo che l'analisi statistica non tiene conto della fluttuazione come normale . Tale attività dannosa sottile potrebbe anche essere incluso nei profili iniziali e quindi incluso nella base normale set.
Stateful protocollo Analisi
Il metodo di rilevamento delle intrusioni di l'analisi di protocollo stateful confronta stabiliti profili delle attività benigne generalmente definiti per ogni stato del protocollo di eventi deviazione osservati. Questo differisce da rilevamento basato anomalia che il primo ha profili specifici per l'host o rete , mentre l'analisi del protocollo stateful utilizza profili universali sviluppate dal fornitore . Questi profili definiscono gli usi appropriati per particolari protocolli .
Questo metodo comprende e tiene traccia dello stato della rete , trasporto , e protocolli di applicazione dello stato -aware . Ciò è esemplificato quando un utente inizia una sessione di ( FTP ), File Transfer Protocol , che inizia in uno stato di unauthentication prima che l' utente si collega e autentica il processo . Tipici utenti di eseguire solo alcune operazioni in stato autenticato ( vedere la Guida in linea , effettuare il login ) con più attività che si svolgono dopo il log in Il protocollo di analisi stateful avrebbe vegliato per importi sospetti di attività in stato autenticato e la bandiera che come un potenziale problema .