Intrusion Detection Systems ( IDS ) monitor datasystem (eller nettverk) arrangementer for mulige tegn på hendelser inkludert sikkerhetstrusler , slik som malware . IDS arbeide på å finne og identifisere problemer , men fungerer ikke å rette dem opp. Korreksjon skjer gjennom Intrusion Prevention Systems ( IPS ) . Inntrengerregistreringsfunksjonen typene varierer i henhold til hvor de anerkjenner potensielle problemer og hvor effektivt denne prosessen utfører . Signatur basert gjenkjenning
Signaturer tilsvarer en kjent trussel kalles signaturer. Signaturen basert gjenkjenning metoden sammenligner signaturer med hendelser følges for å fastslå eventuelle potensielle trusselen hendelser. Et enkelt eksempel på en signatur er en e-post med et mistenkelig tittel og vedlegg som sannsynligvis inneholder et virus .
Intrusion Detection typen beviser effektiv når du arbeider med kjente trusler , men ofte mislykkes når adressering ukjente trusler aldri møtt før . Ved hjelp av e eksempel igjen , vil denne metoden bare gjenkjenne et virus trussel hvis vedlegget eller tittel hadde passert gjennom systemet før . Denne metoden mangler også en evne til å legge merke til et system bredt angrep hvis ingen trinn i angrepet prosessen inneholde en signatur at metoden kan gjenkjenne.
Anomaly Basert Detection
Anomaly basert gjenkjenning sammenligner definisjoner av normal aktivitet til observert hendelser som anses å være betydelige avvik fra det normale. Denne metoden lagrer profiler som representerer normal oppførsel av systemet aspekter, inkludert programmer , verter, brukere og nettverksforbindelser .
Profilene er bygget gjennom overvåking normal aktivitet over en angitt tidsperiode. Systemet bruker disse profilene , og statistisk analyse , for å avgjøre når ny atferd kan tyde på en anomali . Profiler kan gjelde for antall e-poster sendt , gjennomsnittlig båndbredde brukt , eller gjennomsnittlig antall mislykkede pålogginger av verten .
Pluss-siden av denne Intrusion Detection typen er evnen til å oppdage ukjente trusler . For å opprettholde effektiviteten, må periodiske oppdateringer på profilene skje for å holde settet normalområdet nøyaktig. Svake punkter i denne metoden er det faktum at en hacker å utføre uønskede aktiviteten ikke kan bli lagt merke til hvis han gjør små nok endringer over en periode av tid som den statistiske analysen ser bort fra svingninger som normalt. Slike subtile ondsinnet aktivitet kan også være inkludert i den innledende profiler og dermed inkludert i settet normal basen .
Stateful Protocol Analysis
Intrusion Detection metode for tilstandsfulle protokoll analyse sammenligner satt profiler av generelt definert godartede aktiviteter for hver protokoll staten til observerte avvik hendelser . Dette skiller seg fra anomali basert gjenkjenning i at det tidligere har profiler som er spesifikke for verten eller nettverk mens tilstandsfulle protokoll analyse bruker universelle profiler utviklet av leverandøren . Disse profilene definere riktige bruksområder for bestemte protokoller .
Denne metoden forstår og sporer nettverk stat , transport , og state- aware protokollene . Dette eksemplifiseres når en bruker starter en økt med File Transfer Protocol ( FTP) , som starter i en tilstand av unauthentication før brukeren logger inn og godkjenner prosessen . Typiske brukere bare utføre noen oppgaver i unauthenticated tilstand ( se hjelpeveiledning, logg inn ) med mest aktivitet som finner sted etter log i. tilstandsfulle protokoll analyse ville se etter mistenkelige mengder aktivitet i unauthenticated staten og flagg som som en potensiell problem .
