Intrusion-Detection-Typen

Intrusion Detection Systeme (IDS) überwacht Computer System (oder Netzwerk) Ereignisse auf mögliche Anzeichen von Vorfällen einschließlich Sicherheitsbedrohungen, wie Malware. IDS arbeite bei Suche nach und Identifizierung von Problemen, aber funktionieren nicht, um sie zu korrigieren. Korrektur erfolgt durch Intrusion Prevention Systeme (IPS). Die Intrusion Erkennungstypen variieren je nach wie sie mögliche Probleme erkennen und wie effizient dieses Prozesses durchführt.

Signatur-basierte Erkennung

Signaturen von einer bekannten Bedrohung werden Signaturen genannt. Die Signatur-basierte Erkennungsmethode vergleicht Signaturen mit Ereignissen beobachtet, um potenzielle Bedrohung Vorfälle genau zu bestimmen. Ein einfaches Beispiel für eine Signatur ist eine e-Mail mit einem verdächtigen Titel und die Anlage, die wahrscheinlich einen Virus enthält.

Diese Intrusion Erkennung Art beweist effektive Umgang mit bekannten Bedrohungen aber oft scheitert bei der Adressierung von unbekannter Bedrohungen vor noch nie begegnet. Das Beispiel e-Mail wieder zu verwenden, erkennt diese Methode eine Virenbedrohung nur wenn das System vor der Anlage oder Titel durchlaufen hatte. Diese Methode fehlt auch eine Möglichkeit, einen breites System-Angriff zu bemerken, wenn keine Schritte im Prozess Angriff eine Signatur enthalten, die die Methode erkennen kann.

Anomalie-basierte Erkennung

Anomalie basierte Erkennung vergleicht Definitionen der normalen Tätigkeit zu beachten, dass Ereignisse als erhebliche Abweichungen vom normalen gelten. Diese Methode speichert Profile, das normales Verhalten der Systemaspekte, einschließlich Anwendungen, Server, Benutzer und Netzwerkverbindungen darstellt.

Die Profile sind durch Überwachen der normalen Aktivität über einen festgelegten Zeitraum gebaut. Das System verwendet diese Profile und statistische Analyse, um zu bestimmen, wann neue Verhaltensweisen angeben konnten, eine Anomalie. Anzahl der e-Mails, durchschnittliche Bandbreite verwendet, sowie die durchschnittliche Anzahl fehlgeschlagener Anmeldungen vom Host können Profile anwenden.

Die plus-Seite dieser Intrusion Erkennung Art ist die Fähigkeit, unbekannte Bedrohungen zu erkennen. Um Effizienz zu gewährleisten, müssen regelmäßige Aktualisierungen der Profile widerfahren Set Normalbereich genau zu halten. Schwachstellen in dieser Methode schließen die Tatsache ein, dass ein Hacker schädliche Tätigkeit nicht bemerkt vielleicht wenn er kleinen genug Veränderungen über einen Zeitraum von Zeit, die macht die statistische Analyse ignoriert die Fluktuation als normal. Solche subtilen bösartige Aktivitäten möglicherweise auch in die ersten Profile enthalten und somit in der normalen Set Base aufgeführt.

Statusbehaftete Protokollanalyse

Das Eindringen Nachweismethode der statusbehaftete Protokollanalyse vergleicht Set Profile im allgemeinen definierten gutartige Tätigkeiten für jedes Protokoll Staat beobachtete Abweichung Ereignisse. Dies unterscheidet sich von der-basierte Anomalieerkennung, erstere profile speziell für den Host oder Netzwerk, hat während die statusbehaftete Protokollanalyse universal-Profile entwickelt, die vom Hersteller verwendet. Diese Profile definieren die richtigen Anwendungen für bestimmte Protokolle.

Diese Methode versteht und Spuren Netzwerk-Status, Transport und Staat unterstützende Anwendungsprotokolle. Dies ist beispielhaft, wenn ein Benutzer eine Sitzung des File Transfer Protocol (FTP), die in einem Zustand der Unauthentication beginnt beginnt, bevor der Benutzer anmeldet und den Prozess authentifiziert. Typische Benutzer führen nur wenige Aufgaben im nicht authentifizierten Zustand (Anzeige der Hilfe einloggen) mit den meisten Aktivität stattfindet, nach der Anmeldung. Die statusbehaftete Protokollanalyse würde achten Sie auf verdächtige Mengen an Aktivität in dem nicht authentifizierte und kennzeichnen, als ein potenzielles Problem.