Intrusion Detection System ( IDS ) övervaka datorsystem ( eller nätverk ) händelser för eventuella tecken på incidenter och säkerhetshot , såsom malware . IDS arbetar på att hitta och identifiera problem men fungerar inte att rätta till dem . Korrigering sker genom Intrusion Prevention Systems ( IPS ) . Intrångsdetektering typer varierar beroende på hur de känner igen möjliga problem och hur effektivt denna process genomför . Signatur baserad detektering
Signaturer motsvarar ett känt hot kallas signaturer . Signaturen baserade upptäckt metoden jämförs signaturer med händelser observerade att lokalisera eventuella hot incidenter . Ett enkelt exempel på en signatur är ett e-postmeddelande med en misstänkt titel och fastsättning som sannolikt innehåller ett virus .
Intrångsdetektering typ visar sig vara effektivt när det handlar om kända hot men ofta misslyckas när man tar itu okända hot aldrig stött på tidigare . Använda e- exemplet igen , kommer denna metod erkänner endast ett virus hot om kvarstad eller titel hade passerat genom systemet innan . Denna metod saknar också en förmåga att lägga märke till ett system för bred attack om inga åtgärder i attacken processen innehålla en signatur att metoden kan känna igen .
Anomaly baserad detektering
Anomaly baserad detektering jämför definitioner av normal aktivitet observerade händelser bedöms vara betydande avvikelser från det normala. Denna metod lagrar profiler som representerar normala beteende systemets aspekter , inklusive applikationer , värdar , användare och nätverksanslutningar .
Profilerna byggs genom övervakning normal aktivitet under en viss tid . Systemet använder sig av dessa profiler , och statistisk analys , för att avgöra när nya beteenden kan tyda på en anomali . Profiler kan gälla för antalet skickade e-post , genomsnittlig bandbredd används , eller det genomsnittliga antalet misslyckade inloggningar av värden .
Den positiva sidan av detta intrångsskydd typ är förmågan att upptäcka okända hot . För att bibehålla effektivitet , måste regelbundna uppdateringar av profilerna råkar hålla det inställda normala intervallet korrekt . Svaga punkter i denna metod är bland annat det faktum att en hacker utför negativ aktivitet kanske inte märks om han gör tillräckligt små förändringar under en period av tid som den statistiska analysen bortser från variationer som vanligt . Sådana subtila skadlig aktivitet kan också ingå i de ursprungliga profilerna och därmed ingår i uppsättningen normal basen . Intrångsdetektering metod
Stateful protokoll analys
stateful protokoll analys jämförs som profiler av allmänt definierade godartade aktiviteter för varje protokoll stat till observerade avvikelsen händelser . Detta skiljer sig från anomali baserade upptäckt att de förstnämnda har profiler som är specifika för värd eller nätverk medan Stateful protokoll analys använder universella profiler som tagits fram av säljaren . Dessa profiler definierar lämpliga användningsområden för vissa protokoll .
Denna metod förstår och spårar nätverk stat , transport , och state - medvetna protokoll ansökan . Detta exemplifieras när en användare startar en session för File Transfer Protocol ( FTP ) , som börjar i ett tillstånd av unauthentication innan användaren loggar in och autentiserar processen . Typiska användare utföra endast ett fåtal uppgifter i det icke-autentiserade staten ( se hjälpen guide, logga in ) med mycket aktivitet som sker efter log i. Stateful protokoll analys skulle titta efter misstänkta mängder av aktivitet i det icke-autentiserade staten och flagga det som en potentiell problem . Addera
