Tecnología

Inicio

Métodos generales de detección de intrusos

Métodos generales de detección de intrusos


Anita Jones y Robert Sielken, en su artículo "Computer Intrusion Detection System: A Survey". "Cuando un usuario de un sistema de información realiza una acción que el usuario no se le permitió legalmente a tomar" estado que se produce una intrusión

Incluso si la acción ilegal realizada por el usuario se hizo por error, un administrador de sistemas o de red se convertirá en cuestión debido a la posibilidad de daño a la integridad de un sistema y la accesibilidad para otros usuarios. La detección de una intrusión por lo tanto, es de vital interés, y cinco métodos de detección de intrusos en general han tomado forma dentro de las ciencias de la computación: mal uso, anomalía, basado en host, basada en la red, y física.

Métodos de detección de uso indebido

métodos de detección de mal uso se centran en el seguimiento de conocidas firmas de ataque "." Es decir, una intrusión o ataque típicamente requiere una pequeña sub-conjunto de pasos, que se utiliza por el atacante, con el fin de completar el ataque. Estos pasos forman una "firma de ataque," en particular y, por tanto, pueden ser examinadas.

Central a la noción de "uso indebido" es definir y comprender los métodos de ataque reales que puedan producirse a un host o red en primer lugar. Esta colección forma un catálogo de firmas de ataque que son monitoreados para luego bajo la presunción de que las actividades no firma califican como "normal".

Métodos de detección de anomalías

Los métodos de detección de anomalías son similares a un mal uso de los métodos de detección, pero trabajar a la inversa. Es decir, un catálogo de la actividad "normal" se define y se utiliza como un filtro contra todas las actividades monitorizadas. Cualquier actividad que se produce fuera del catálogo se considera una anomalía, y por lo tanto una posible intrusión o ataque.

Métodos de detección basado en host

basado en host centro de métodos de detección en todo el seguimiento de las actividades que ocurren en un equipo específico, o "host". detección de intrusiones basado en host efectiva se completa a través de una combinación de software y la interacción humana directa. El seguimiento incluye la creación y revisión de los registros de archivos y de seguridad, así como asegurar que un atacante no ha alterado físicamente a un sistema con el fin de eludir la detección o completar un ataque.

Métodos de detección basadas en red

detección basada en la red se centra en el tráfico de red y los dispositivos que controlan o regulan. Intentan para detectar intrusiones filtrando y análisis de los paquetes, por lo general comparándolos con firmas de ataques conocidos. Cuando un paquete coincide con una firma, el software o hardware pueden o bien tomar automatizado, medidas de prevención, o la bandera los paquetes en un registro para su posterior análisis por un operador humano.

Métodos de detección físicos

métodos de detección físicas se utilizan para controlar el acceso físico y el uso, por ejemplo, a través de las cámaras de seguridad, tarjetas-llave, y los sistemas de acceso biométricos. Tradicionalmente, la mayoría de los sistemas de detección de intrusión física han servido más como un servicio preventivo - tales como impedir el acceso después de un intento fallido tarjeta-llave - o como un "después del hecho" registro de la actividad física en un dispositivo host o red. En términos de detección de intrusiones, estos métodos han demostrado a menudo de mayor valor como medidas forenses y de investigación que por sí mismo la detección de intrusiones en tiempo real.