υπογραφές αντιστοιχεί σε μια γνωστή απειλή που ονομάζεται υπογραφές . Η μέθοδος ανίχνευσης υπογραφής που βασίζονται συγκρίνει υπογραφές με τα γεγονότα που παρατηρήθηκαν να εντοπίσει τυχόν περιστατικά απειλών . Ένα απλό παράδειγμα της υπογραφής είναι ένα email με ένα ύποπτο τίτλο και την προσάρτηση που πιθανόν να περιέχει ιό .
Αυτός ο τύπος ανίχνευσης εισβολής αποδεικνύεται αποτελεσματική όταν πρόκειται για γνωστές απειλές , αλλά συχνά αποτυγχάνει κατά την αντιμετώπιση άγνωστων απειλών ποτέ δεν αντιμετώπισε πριν . Χρησιμοποιώντας το παράδειγμα ηλεκτρονικό ταχυδρομείο πάλι , αυτή η μέθοδος θα αναγνωρίσει μόνο μια απειλή του ιού , εάν η κατάσχεση ή τίτλος είχε περάσει μέσω του συστήματος πριν . Η μέθοδος αυτή δεν έχει επίσης την ικανότητα να παρατηρήσετε ένα ευρύ σύστημα προσβολή, εάν δεν βήματα στη διαδικασία επίθεση περιέχει μια υπογραφή που η μέθοδος μπορεί να αναγνωρίσει .
Εικόνων Anomaly Based Detection
Η
Anomaly ανίχνευση με βάση συγκρίνει τους ορισμούς της κανονικής δραστηριότητας παρατηρήθηκε γεγονότα θεωρούνται σημαντικές αποκλίσεις από την κανονική . Αυτό καταστήματα μέθοδο προφίλ που αντιπροσωπεύουν τη συνήθη συμπεριφορά των πτυχών του συστήματος , συμπεριλαμβανομένων των εφαρμογών , οικοδεσπότες , οι χρήστες και οι συνδέσεις του δικτύου .
Τα προφίλ χτισμένο μέσα από την παρακολούθηση φυσιολογική δραστηριότητα πάνω από ένα καθορισμένο χρονικό διάστημα . Το σύστημα χρησιμοποιεί αυτά τα προφίλ , και στατιστική ανάλυση , για να καθορίσει πότε νέες συμπεριφορές θα μπορούσαν να δείξουν μια ανωμαλία . Προφίλ μπορεί να ισχύουν για τον αριθμό των ηλεκτρονικών μηνυμάτων που αποστέλλονται , κατά μέσο όρο εύρος ζώνης που χρησιμοποιείται , ή ο μέσος αριθμός των αποτυχημένων συνδέσεων από τον ξενιστή .
Η θετική πλευρά αυτού του τύπου ανίχνευσης εισβολής είναι η ικανότητα να ανιχνεύουν άγνωστες απειλές. Για να διατηρηθεί η αποδοτικότητα , η περιοδική ενημέρωση των προφίλ πρέπει να συμβεί για να κρατήσει το σύνολο φυσιολογικό εύρος ακριβείς . Αδύνατα σημεία στη μέθοδο αυτή περιλαμβάνουν το γεγονός ότι ένας χάκερ που εκτελεί δυσμενείς δραστηριότητα δεν μπορεί να γίνει αντιληπτό αν κάνει αρκετά μικρές αλλαγές σε μια περίοδο του χρόνου που η στατιστική ανάλυση δεν λαμβάνει υπόψη τη διακύμανση κανονικά. Αυτές οι λεπτές κακόβουλη δραστηριότητα θα μπορούσε επίσης να συμπεριληφθεί στις αρχικές προφίλ και ως εκ τούτου περιλαμβάνονται στο φυσιολογικούς βάση .
Η Stateful πρωτόκολλο Ανάλυση
Η
Η μέθοδος ανίχνευσης εισβολής του stateful πρωτόκολλο ανάλυση συγκρίνει σύνολο προφίλ ορίζεται γενικά καλοήθη δραστηριότητες για κάθε κράτος πρωτόκολλο παρατηρηθέντων γεγονότων απόκλισης . Αυτό διαφέρει από την ανίχνευση σε ανωμαλία με βάση ότι η πρώτη έχει συγκεκριμένο προφίλ στον υπολογιστή ή δίκτυο , ενώ η ανάλυση stateful πρωτόκολλο χρησιμοποιεί καθολική προφίλ που ανέπτυξε ο πωλητής . Αυτά τα προφίλ ορίζουν τις κατάλληλες χρήσεις για συγκεκριμένα πρωτόκολλα .
Η μέθοδος αυτή καταλαβαίνει και παρακολουθεί κρατικό δίκτυο , οι μεταφορές , και state- γνωρίζουν τα πρωτόκολλα εφαρμογής . Αυτό αποδεικνύεται , όταν ένας χρήστης ξεκινά μια σύνοδο της Πρωτόκολλο μεταφοράς αρχείων ( FTP ) , που ξεκινά σε κατάσταση unauthentication πριν ο χρήστης συνδεθεί και επικυρώνει τη διαδικασία . Τυπικά οι χρήστες να εκτελούν μόνο μερικές εργασίες στην κατάσταση χωρίς έλεγχο ( δείτε τον οδηγό βοήθεια, συνδεθείτε ) με τις περισσότερες δραστηριότητες που λαμβάνουν χώρα μετά log in Η stateful πρωτόκολλο ανάλυση θα παρακολουθήσουν για ύποπτες ποσότητες δραστηριότητας στην κατάσταση χωρίς έλεγχο ταυτότητας και τη σημαία που ως πιθανή πρόβλημα .
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα