Méthodes générales de détection d'intrusion

January 17

Méthodes générales de détection d'intrusion


Anita Jones et Robert Sielken, dans leur article "Computer Intrusion Detection System: A Survey". "Lorsqu'un utilisateur d'un système d'information prend une mesure que l'utilisateur n'a pas été légalement autorisé à prendre« l'état qu'une intrusion se produit

Même si l'action illégale prise par l'utilisateur a été faite par erreur, un administrateur système ou réseau deviendra concerné en raison du potentiel pour les dommages à l'intégrité d'un système et l'accessibilité pour les autres utilisateurs. La détection d'une intrusion est donc d'un intérêt vital, et cinq méthodes de détection d'intrusion générale ont pris forme dans les sciences informatiques:, basée sur le réseau abus, anomalie, basée sur l'hôte, et physique.

Méthodes de détection Détournement

les méthodes de détection de Détournement se concentrent sur la surveillance des connus "signatures d'attaque." Autrement dit, une intrusion ou attaque nécessite généralement un petit sous-ensemble d'étapes, utilisé par l'attaquant, afin de compléter l'attaque. Ces étapes forment une "signature d'attaque," en particulier et peuvent donc être examinées.

Central à la notion de «mauvaise utilisation» est d'abord définir et comprendre les méthodes d'attaque réelles susceptibles de se produire à un hôte ou d'un réseau. Cette collection constitue un catalogue de signatures d'attaque qui sont ensuite surveillés pour en vertu de la présomption que les activités non-signature se qualifient comme «normal».

Méthodes de détection d'anomalie

les méthodes de détection des anomalies sont similaires à une mauvaise utilisation des méthodes de détection, mais le travail en sens inverse. Autrement dit, un catalogue d'activité "normale" est défini et utilisé comme filtre contre toutes les activités surveillées. Toute activité survenant en dehors du catalogue est considéré comme une anomalie, et donc une intrusion ou attaque potentielle.

Méthodes de détection Host-Based

basé sur l'hôte des méthodes de détection de centre autour de la surveillance des activités qui se déroulent sur un ordinateur spécifique, ou «hôte». détection d'intrusion basé sur l'hôte efficace est complété par une combinaison de logiciels et de l'interaction humaine directe. La surveillance comprend la création et l'examen des journaux de fichiers et de sécurité, ainsi que l'assurance que l'attaquant n'a pas physiquement modifié un système afin de contourner la détection ou effectuer une attaque.

Méthodes de détection basées sur les réseaux

la détection basée sur le réseau se concentre sur le trafic réseau et les dispositifs qui contrôlent ou réglementent. Ils tentent de détecter les intrusions en filtrant et en analysant les paquets, généralement en les comparant à des signatures d'attaques connues. Quand un paquet correspond à une signature, le logiciel ou le matériel peuvent prendre soit automatisé, des mesures préventives, ou signaler les paquets dans un journal pour une analyse ultérieure par un opérateur humain.

Méthodes de détection physiques

les méthodes de détection physiques sont utilisés pour surveiller l'accès physique et l'utilisation, par exemple par des caméras de sécurité, clés-cartes, et les systèmes d'accès biométriques. Traditionnellement, la plupart des systèmes de détection d'intrusion physique ont servi plus comme un service de prévention - comme la prévention de l'accès après une tentative de carte-clé a échoué - ou comme un journal «après le fait» de l'activité physique sur un dispositif hôte ou d'un réseau. En termes de détection d'intrusion, ces méthodes se sont souvent révélées d'une plus grande valeur en tant que mesures médico-légales et d'investigation que pour la détection d'intrusion en temps réel lui-même.


          

Post a comment: