Types de système informatique moniteur ( ou réseau ) des événements pour des signes possibles d' incidents , y compris les menaces de sécurité telles que les logiciels malveillants systèmes de détection d' intrusion ( IDS) . IDS travailler à trouver et à identifier les problèmes , mais ne fonctionne pas pour les corriger. Correction survient le biais de systèmes de prévention des intrusions ( IPS) . Les types de détection d'intrusion varient en fonction de la façon dont ils reconnaissent les problèmes potentiels et l'efficacité avec laquelle ce processus effectue . Détection basée sur
Signatures signature correspondant à une menace connue sont appelés signatures. La méthode de détection basée sur la signature compare signatures avec les événements observés pour identifier les incidents de menaces potentielles. Un exemple simple d' une signature est un e-mail avec un titre suspect et l'attachement qui contient probablement un virus.
Ce type de détection d'intrusion s'avère efficace lorsqu'il s'agit de menaces connues mais échoue souvent lorsque lutter contre les menaces inconnues jamais rencontrés auparavant . En utilisant l'exemple email à nouveau , cette méthode ne reconnaîtra une menace de virus si la pièce jointe ou le titre sont passés par le système avant . Cette méthode n'a pas aussi une capacité à remarquer une grande attaque du système si aucune mesure dans le processus d'attaque contiennent une signature que la méthode peut reconnaître .
Anomaly Detection Based
Anomaly détection basée compare les définitions de l'activité normale d' événements observés jugés écarts considérables à la normale . Cette méthode stocke les profils représentant le comportement normal des aspects du système , y compris les applications, les hôtes, les utilisateurs et les connexions réseau .
Les profils sont construits grâce à surveiller l'activité normale sur une longueur de temps définie . Le système utilise ces profils , et l'analyse statistique , afin de déterminer si de nouveaux comportements peuvent indiquer une anomalie. Profils pourraient s'appliquer à nombre d'emails envoyés , bande passante moyenne utilisée, ou le nombre moyen de connexions qui ont échoué par l'hôte.
Le côté positif de ce type de détection d'intrusion est la capacité à détecter les menaces inconnues . Pour maintenir l'efficacité , mises à jour périodiques des profils doivent arriver à maintenir la fourchette normale de jeu précis. Les points faibles de cette méthode , notamment le fait qu'un pirate informatique effectuant activité défavorable ne peut être remarqué s'il fait suffisamment petits changements sur une période de temps que l'analyse statistique ne tient pas compte de la fluctuation comme d'habitude. Cette activité malveillante subtile pourrait également être inclus dans les profils initiaux et donc inclus dans la base normale de set.
Stateful Protocol Analysis
La méthode de détection d'intrusion analyse de protocole stateful compare définir les profils d'activités bénignes généralement définies pour chaque état de protocole d' événements écart observé . Cela diffère de détection basée sur des anomalies en ce que le premier a des profils spécifiques à l'hôte ou le réseau tandis que l'analyse de protocole avec état utilise des profils universels développés par le vendeur. Ces profils définissent les utilisations appropriées pour des protocoles particuliers .
Cette méthode comprend et suit l'état du réseau , le transport et les protocoles d'application Etat -aware . Ceci est illustré lorsqu'un utilisateur commence une session de transfert de fichiers (FTP ) , qui commence dans un état de unauthentication avant que l'utilisateur ouvre une session et authentifie le processus . Les utilisateurs typiques seulement effectuer quelques tâches dans l'état non authentifié ( voir le guide d'aide , connectez-vous ) avec la plupart des activités ayant lieu après log in L' analyse de protocole stateful guettait quantités d'activités suspectes dans l'état non authentifié et le drapeau que comme un potentiel problème.