firmas que corresponden a una amenaza conocida se denominan firmas. El método de detección basada en firmas firmas compara con los eventos observados para identificar las incidencias potenciales amenazas. Un ejemplo sencillo de una firma es un correo electrónico con un título sospechoso y el apego que probablemente contiene un virus.
Este tipo de detección de intrusos resulta eficaz cuando se trata de amenazas conocidas , pero a menudo falla al abordar las amenazas desconocidas nunca encontrado antes . Utilizando el ejemplo de correo electrónico nuevo, este método sólo reconocerá una amenaza de virus si el accesorio o el título habían pasado por el sistema anterior. Este método también carece de la capacidad para notar un gran ataque del sistema si no hay pasos en el proceso de ataque contienen una firma que el método es capaz de reconocer .
Anomalía Based Detección
Anomaly detección basada compara las definiciones de la actividad normal a los eventos observados se consideran desviaciones considerables de lo normal . Este método almacena los perfiles que representan el comportamiento normal de los aspectos del sistema, incluyendo aplicaciones , sistemas, usuarios y conexiones de red .
Los perfiles se construyen mediante el seguimiento de la actividad normal durante un período de tiempo determinado . El sistema utiliza estos perfiles , y el análisis estadístico , para determinar cuando nuevos comportamientos podrían indicar una anomalía . Perfiles se pueden aplicar a varios correos electrónicos enviados , ancho de banda medio utilizado o el número medio de intentos fallidos por parte del anfitrión.
El lado positivo de este tipo de detección de intrusos es la capacidad de detectar amenazas desconocidas. Para mantener la eficiencia , las actualizaciones periódicas de los perfiles deben ocurrir para mantener el rango normal set exacta. Los puntos débiles en este método incluyen el hecho de que un hacker realizar actividad adversa no puede ser observado si hace cambios suficientes pequeñas durante un período de tiempo que el análisis estadístico no tiene en cuenta la fluctuación de forma normal . Dicha actividad maliciosa sutil también podría incluirse en los perfiles iniciales y por lo tanto incluido en la base normal de juego .
Stateful Protocolo de Análisis
El método de detección de intrusiones de análisis de protocolo con estado compara establecer perfiles de actividades benignos generalmente definidos por cada estado protocolo para eventos desviación observada . Esto difiere de la detección basada en anomalía en que el primero tiene perfiles específicos para el host o de la red mientras que el análisis de protocolo con estado utiliza perfiles universales desarrollados por el vendedor . Estos perfiles definen los usos adecuados para protocolos específicos.
Este método comprende y realiza un seguimiento del estado de la red , el transporte y los protocolos de aplicación del estado consciente . Ejemplo de ello es cuando un usuario inicia una sesión de transferencia de archivos ( FTP) , que comienza en un estado de unauthentication antes de que el usuario inicia sesión y se autentica el proceso. Los usuarios típicos sólo realizan una serie de tareas en el estado no autenticado ( ver el manual de ayuda , entre en ) con la mayoría de la actividad que tiene lugar después de iniciar sesión pulg El análisis de protocolo con estado pendiente de cantidades sospechosas de actividad en el estado no autenticado y la bandera que como un potencial problema.