¿Qué es la detección de intrusiones por anomalías?
IETF divide los sistemas de detección de intrusiones en cuatro partes:
Generadores de eventos, cuya finalidad es obtener eventos de todo el entorno informático y proporcionarlos a otras partes del sistema.
El analizador de eventos obtiene datos a través del análisis y genera resultados del análisis.
La unidad de respuesta es una unidad funcional que responde a los resultados del análisis. Puede realizar reacciones fuertes como cortar conexiones y cambiar atributos de archivos, o también puede simplemente dar una alarma.
Base de datos de eventos base de datos de eventos es el nombre general del lugar donde se almacenan diversos datos intermedios y finales. Puede ser una base de datos compleja o un simple archivo de texto.
Política de Seguridad
Según el comportamiento de la detección de intrusiones, el sistema de detección de intrusiones se divide en dos modos: detección de anomalías y detección de uso indebido. Los primeros deben establecer primero un modelo de comportamiento normal de acceso al sistema. Cualquier comportamiento de visitante que no se ajuste a este modelo será juzgado como una intrusión; los segundos, por el contrario, deben primero resumir y establecer todos los posibles comportamientos adversos e inaceptables; un modelo. , cualquier comportamiento del visitante que se ajuste a este modelo será juzgado como una intrusión.
Las estrategias de seguridad de estos dos modos son completamente diferentes, cada una con ventajas y desventajas: la tasa de falsos negativos de detección de anomalías es muy baja, pero los comportamientos que no se ajustan a los patrones de comportamiento normales no son necesariamente ataques maliciosos. , por lo que el error de esta estrategia es La tasa de falsos positivos es alta; la detección de uso indebido tiene una tasa baja de falsos positivos porque coincide directamente con el patrón de comportamiento inaceptable de la comparación de anomalías.
Sin embargo, los comportamientos maliciosos cambian constantemente y es posible que no se recopilen en la biblioteca de patrones de comportamiento, por lo que la tasa de falsos negativos es alta. Esto requiere que los usuarios formulen estrategias y seleccionen modos de detección de comportamiento en función de las características y requisitos de seguridad del sistema. Ahora los usuarios adoptan una estrategia que combina los dos modos.
Referencia del contenido anterior: Enciclopedia Baidu: Detección de intrusiones anormales, Enciclopedia Baidu: Sistema de detección de intrusiones.