Generelle Intrusion Detection Metoder

Generelle Intrusion Detection Metoder


Anita Jones og Robert Sielken, i sitt paper "Computer System Intrusion Detection: En undersøkelse," ". Når en bruker av et informasjonssystem tar en handling som brukeren ikke var lov til å ta" staten som en forstyrrelse oppstår

Selv om den ulovlige handlingen tatt av brukeren ble gjort ved en feil, vil et system eller nettverksadministratoren bli bekymret på grunn av potensialet for skade på et system integritet og tilgjengelighet for andre brukere. Oppdager en forstyrrelse er derfor av vital interesse, og fem generell innbruddsdeteksjonsmetoder har tatt form i løpet av de Computer Sciences: misbruk, uregelmessighet, host-basert nett-basert, og fysisk.

Misbruk Detection Metoder

Misbruk deteksjonsmetoder fokusere på overvåking for kjente "angrep signaturer." Det vil si, en forstyrrelse eller angrep krever vanligvis en liten sub-sett med trinn, som brukes av angriperen, for å fullføre angrepet. Disse trinnene danner en bestemt "angrep signatur", og kan derfor bli gransket.

Sentralt i begrepet "misbruk" er først definere og forstå de faktiske angrepsmetoder som kan oppstå i en vert eller nettverk. Denne samlingen danner en katalog over angrepssignaturer som er så overvåket for under den forutsetning at ikke-signatur aktiviteter kvalifisere som "normal".

Anomaly Detection Metoder

Anomali deteksjonsmetoder er lik misbruke deteksjonsmetoder, men arbeider i revers. Det vil si, en katalog av "normal" aktivitet er definert og brukt som et filter mot alle overvåkede aktiviteter. Enhver aktivitet som forekommer utenfor katalogen er ansett som et avvik, og dermed en potensiell innbrudd eller angrep.

Host-basert gjenkjenning metoder

Host-baserte metoder for påvisning sentrum rundt overvåking av aktiviteter som skjer på en bestemt datamaskin, eller "host". Effektiv vertsbasert Intrusion Detection er fullført gjennom en kombinasjon av programvare og direkte menneskelig samhandling. Overvåking omfatter etablering og gjennomgang av fil- og sikkerhetslogger, samt forsikre at en angriper ikke har fysisk endret et system for å omgå påvisning eller fullføre et angreps.

Network-basert gjenkjenning metoder

Nettverksbasert deteksjon fokuserer på nettverkstrafikk og enhetene som styrer eller regulerer den. De forsøker å oppdage inntrenging ved å filtrere og analysere pakker, vanligvis sammenligner dem til kjente angrep signaturer. Når en pakke passer til en signatur, kan programvaren eller maskinvaren enten ta automatisert, forebyggende tiltak, eller flagg pakkene i en logg for videre analyse av en menneskelig operatør.

Fysiske Detection Metoder

Fysiske gjenkjenning metoder brukes for å overvåke fysisk tilgang og bruk, for eksempel gjennom overvåkingskameraer, nøkkelkort, og biometriske tilgang til systemer. Tradisjonelt har de fleste av fysisk Intrusion Detection Systems servert mer som en forebyggende tjeneste - som hindrer tilgang etter en mislykket nøkkelkort forsøk - eller som en "i ettertid" logg av fysisk aktivitet på en vert eller nettverksenhet. Når det gjelder innbruddsdeteksjon, har disse metodene ofte vist seg å være større verdi som rettsmedisinske og undersøkende tiltak enn for sanntids Intrusion Detection selv.