Tipos de detección de intrusiones

Sistemas de Detección de Intrusos (IDS) supervisor del sistema de ordenador (o red) para eventos posibles signos de incidentes como las amenazas de seguridad, como programas maliciosos. IDS trabajan en la búsqueda y la identificación de problemas, pero no funcionan para corregirlos. La corrección tiene lugar a través de sistemas de prevención de intrusiones (IPS). Los tipos de detección de intrusos varían de acuerdo a cómo reconocer los problemas potenciales y la eficiencia con que se lleva a cabo el proceso.

Detección basada en firmas

Las firmas que corresponden a una amenaza conocida se denominan firmas. El método de detección basada en firmas compara con firmas eventos observados para localizar las incidencias potenciales amenazas. Un ejemplo simple de una firma es un correo electrónico con un título sospechoso y el apego que probablemente contenga un virus.

Este tipo de detección de intrusos resulta eficaz cuando se trata de amenazas conocidas, pero a menudo falla al abordar las amenazas desconocidas encontrado nunca antes. Usando el ejemplo de correo electrónico nuevo, este método sólo reconocerá una amenaza de virus, si el archivo adjunto o título habían pasado por el sistema antes. Este método también carece de una capacidad para notar un sistema amplio ataque si no hay pasos en el proceso de ataque contienen una firma que el método puede reconocer.

Sobre la base de detección de anomalías

basada en la detección de anomalías compara las definiciones de la actividad normal de los eventos observados se consideren considerables desviaciones de lo normal. Este método almacena los perfiles que representan el comportamiento normal de los aspectos del sistema, incluyendo aplicaciones, hosts, usuarios y conexiones de red.

Los perfiles se construyen mediante el seguimiento de la actividad normal durante un período de tiempo determinado. El sistema utiliza estos perfiles y análisis estadístico, para determinar cuando los nuevos comportamientos podrían indicar una anomalía. Los perfiles se pueden aplicar a número de correos electrónicos enviados, ancho de banda medio utilizado, o el número medio de intentos fallidos por el anfitrión.

El lado positivo de este tipo de detección de intrusos es la capacidad de detectar amenazas desconocidas. Para mantener la eficiencia, actualizaciones periódicas de los perfiles deben ocurrir para mantener el rango normal establecido precisa. Los puntos débiles en este método incluyen el hecho de que un hacker realizar actividad adversa no puede ser observado si hace lo suficientemente pequeño como cambios en un período del tiempo que el análisis estadístico no tiene en cuenta la fluctuación como normal. Dicha actividad maliciosa sutil también podría incluirse en los perfiles iniciales y por lo tanto incluirse en la base normal de juego.

Análisis Protocolo de estado

El método de detección de intrusiones de análisis de protocolo con estado compara los perfiles conjunto de actividades benignos generalmente definidos para cada estado de protocolo para eventos desviación observada. Esto difiere de la detección basada anomalía en que el primero tiene perfiles específicos para el host o red, mientras que el análisis de protocolos de estado utiliza perfiles universales desarrollados por el vendedor. Estos perfiles definen los usos adecuados para protocolos particulares.

Este método comprende y realiza un seguimiento del estado de la red, transporte y aplicación de protocolos en cuenta por el estado. Esto se ejemplifica cuando un usuario inicia una sesión de protocolo de transferencia de archivos (FTP), que comienza en un estado de unauthentication antes el usuario se conecta y se autentica el proceso. Los usuarios típicos sólo realizan algunas tareas en el estado no autenticado (ver la guía de ayuda, inicie la sesión) con la mayor actividad que se realiza después de iniciar sesión. El análisis de protocolo con estado debía vigilar cantidades sospechosas de actividad en el estado no autenticado y la bandera que como un potencial problema.