Sistemas de Detecção de Intrusão (IDS) monitorar sistema de computador (ou rede ) eventos para possíveis sinais de incidentes , incluindo ameaças de segurança , tais como malware. IDS trabalhar para encontrar e identificar problemas , mas não funcionam para corrigi-los . Correção ocorre através de Sistemas de Intrusão Prevenção (IPS) . Os tipos de detecção de intrusão variar de acordo com a forma como eles reconhecem os problemas potenciais e como de forma eficiente esse processo leva a cabo . Assinatura baseado Detecção
Assinaturas correspondentes a uma ameaça conhecida, são chamadas de assinaturas. O método de detecção baseada em assinatura compara assinaturas com eventos observados para identificar quaisquer incidentes de ameaça potencial . Um exemplo simples de uma assinatura é um e-mail com um título suspeito e anexo que provavelmente contém um vírus.
Este tipo de detecção de intrusão prova eficaz ao lidar com ameaças conhecidas , mas muitas vezes falha , ao abordar ameaças desconhecidas nunca encontrado antes . Usando o exemplo de e-mail novamente , este método só irá reconhecer a ameaça de vírus , se a penhora ou o título já tinha passado através do sistema antes. Este método também não tem a capacidade de perceber um sistema amplo ataque se nenhum passo no processo de ataque contém uma assinatura que o método é capaz de reconhecer .
Anomaly Detection Based
Anomaly detecção baseada compara definições de atividade normal para eventos observados considerados desvios consideráveis normal. Este método armazena perfis que representam o comportamento normal de aspectos do sistema, incluindo aplicações , hosts, usuários e conexões de rede .
Os perfis são construídos por meio de monitorar a atividade normal, ao longo de um determinado período de tempo. O sistema utiliza esses perfis e análise estatística para determinar quando novos comportamentos pode indicar uma anomalia. Perfis pode se aplicar a série de e-mails enviados , largura de banda média utilizada , ou o número médio de logins falhos por parte do anfitrião .
O lado positivo deste tipo de detecção de intrusão é a capacidade de detectar ameaças desconhecidas. Para manter a eficiência, atualizações periódicas dos perfis devem acontecer para manter o conjunto faixa normal precisa. Pontos fracos deste método incluem o fato de que um hacker executar atividade adverso pode não ser notado se ele faz pequenas mudanças suficientes durante um período de tempo que a análise estatística desconsidera a flutuação normal. Tal atividade maliciosa sutil também podem ser incluídos nos perfis iniciais e, portanto, incluídos no conjunto de base normal.
Stateful Protocol Analysis
O método de detecção de intrusão de análise de protocolo stateful compara perfis conjunto de atividades benignos geralmente definidas para cada estado de protocolo para eventos desvios observados. Isso é diferente de detecção baseada em anomalia que o primeiro tem perfis específicos para o host ou rede , enquanto a análise de protocolo stateful utiliza perfis universais desenvolvidas pelo fornecedor. Estes perfis definem os usos adequados para protocolos específicos.
Este método compreende e controla o estado da rede , transporte e aplicação protocolos de estado -aware. Isto é exemplificado quando um usuário inicia uma sessão de File Transfer Protocol (FTP) , que começa em um estado de unauthentication antes de o usuário efetuar login e autentica o processo. Os usuários típicos apenas executar algumas tarefas no estado não autenticada ( ver o guia de ajuda , faça login ) com mais actividade a ter lugar depois de entrar A análise de protocolo stateful iria assistir para quantidades suspeitas de atividade no estado e bandeira não autenticado que como um potencial problema.
