« poprzedni punkt | następny punkt » |
W obecnej chwili istnieją dwa główne podejścia do analizy zdarzeń w celu wykrycia ataku: wykrywanie nadużyć oraz wykrywanie anomalii. Podczas wykrywania nadużyć stosuje się analizę znanych "złych" zachowań (użytkownika, systemu etc.). Jest to technika stosowana przez większość systemów komercyjnych. Natomiast wykrywanie anomalii wiąże się z wyszukiwaniem i analizą "dziwnych" schematów aktywności. Wykrywanie anomalii jest używane w ograniczonym zakresie przez niektóre systemy IDS. Z każdym z tych podejść wiążą się pewne wady i zalety, ale okazuje się, iż najbardziej efektywne systemy IDS stosują głównie metodę wykrywania nadużyć z niewielką domieszką wykrywania anomalii.
Wykrywanie nadużyć (Misuse Detection)
W metodzie tej analizowana jest wszelka aktywność systemowa, w celu odnalezienia zdarzenia lub ciągu zdarzeń pasujących do znanego schematu ataku. Ponieważ schematy pasujące do określonych typów ataków są często nazywane sygnaturami, wykrywanie nadużyć bywa czasem nazywane wykrywaniem ataków opartym na sygnaturach (signature-based detection). W takiej detekcji każdy wzór zdarzeń odpowiadających znanemu atakowi traktowany jest jako osobna sygnatura. Jednakże są spotykane bardziej zaawansowane podejścia do wykrywania nadużyć (oparte na analizie stanów), które potrafią używać pojedynczej sygnatury do wykrywania wielu ataków.
Podstawowe zalety i wady:
Detekcja anomalii (Anomaly Detection)
Detekcja anomalii polega na wykrywaniu niezwyczajnych zachowań (anomalii) na komputerze lub w sieci. Metoda ta opiera się na fakcie, iż ataki znacząco różnią się od "zwykłej" (dozwolonej) aktywności i dzięki temu mogą być wykrywane przez systemy wychwytujące te różnice. Przy użyciu detektorów anomalii konstruuje się profile dopuszczalnej działalności użytkowników, komputerów bądź połączeń sieciowych opierając się na danych zebranych podczas normalnej działalności systemu. Następnie detektory te kontrolują system zbierając dane i używając różnych testów by stwierdzić, czy monitorowana aktywność znacząco odbiega od normy.
Podstawowe zalety i wady:
« poprzedni punkt | następny punkt » |