Intrusion Detection Systems ( IDS ) overvåge computer -system (eller netværk) arrangementer for mulige tegn på hændelser , herunder sikkerhedstrusler , såsom malware . IDS arbejder på at finde og identificere problemer, men ikke arbejde for at rette dem. Korrektion sker gennem Intrusion Prevention Systems ( IPS) . De intrusion detection typer varierer efter, hvordan de genkender potentielle problemer og hvor effektivt denne proces udfører . Signatur baseret detektion
Underskrifter svarende til en kendt trussel kaldes signaturer. Signaturen baseret detektion metode sammenligner signaturer med begivenheder observeret at lokalisere enhver potentiel trussel hændelser. Et simpelt eksempel på en signatur er en mail med en mistænkelig titel og vedhæftet fil, der sandsynligvis indeholder en virus .
Denne intrusion detection typen viser effektive, når der beskæftiger sig med kendte trusler , men ofte mislykkes , når man behandler ukendte trusler aldrig stødt før. Brug af e-mail- eksempel igen, vil denne metode kun anerkende en virus trussel, hvis den vedhæftede fil eller titel havde passeret gennem systemet før. Denne metode mangler også en evne til at mærke et system bred angreb, hvis ingen skridt i angrebet processen indeholder en signatur , at metoden kan genkende.
Anomaly baseret detektion
Anomaly baseret detektion sammenligner definitioner af normal aktivitet observerede begivenheder anses for at være betydelige afvigelser fra det normale. Denne metode gemmer profiler repræsenterer normale adfærd systemets aspekter, herunder applikationer , værter, brugere og netværksforbindelser .
Profilerne er bygget gennem overvågning normal aktivitet i løbet af et sæt tidsrum. Systemet bruger de profiler , og statistisk analyse for at afgøre, når nye adfærdsmønstre kunne tyde en anomali . Profiler kan gælde for antallet af sendte e-mails, gennemsnitlig båndbredde brugt eller det gennemsnitlige antal mislykkede logins af værten.
Plus side af denne intrusion detection type er evnen til at detektere ukendte trusler . At opretholde effektivitet, skal periodiske ajourføringer af profilerne tilfældigvis til at holde den indstillede normalområdet nøjagtige. Svage punkter i denne metode, er det faktum, at en hacker udfører negativ aktivitet måske ikke blive bemærket , hvis han gør små nok ændringer over en periode af tid, at den statistiske analyse ikke tager hensyn til udsving som normalt. Sådanne subtile ondsindet aktivitet kunne også indgå i de indledende profiler og dermed indgår i sættet normal base.
Stateful Protocol Analysis
intrusion detection metode stateful protokol analyse sammenligner sat profiler generelt defineret godartede aktiviteter for alle protokol stat til observerede afvigelse begivenheder. Dette adskiller sig fra anomali baseret detektion i , at førstnævnte har profiler specifikke for vært eller et netværk , mens stateful protokol analyse benytter universelle profiler udviklet af sælgeren . Disse profiler definerer de korrekte anvendelsesmuligheder for bestemte protokoller.
Denne metode forstår og sporer netværkstilstand , transport og state -aware applikationsprotokoller . Dette er eksemplificeret når en bruger begynder en session af File Transfer Protocol ( FTP ) , som begynder i en tilstand af unauthentication før brugeren logger på og godkender processen . Typiske brugere kun udføre et par opgaver i ikke-godkendt tilstand ( se hjælpe guide , log ind ) med de fleste aktivitet, der finder sted efter log ind Stateful protokol analyse ville se efter mistænkelige mængder af aktivitet i ikke-godkendt tilstand og flag, der som en potentiel problem.