¿Cuáles son las clasificaciones de las tecnologías de detección de intrusos?
División técnica
(1) Modelo de detección de anomalías (AnomalyDetection): detección de desviaciones del comportamiento aceptable. Si se pudiera definir cada comportamiento aceptable, entonces cada comportamiento inaceptable debería ser una intrusión. Primero, resumimos las características (perfil de usuario) que deben tener las operaciones normales. Cuando las actividades del usuario se desvían significativamente del comportamiento normal, se considera una intrusión. Este modelo de detección tiene una tasa baja de falsos negativos y una tasa alta de falsos positivos. Como no es necesario definir cada comportamiento de intrusión, las intrusiones desconocidas se pueden detectar de forma eficaz.
(2) Modelo de detección de uso indebido (MisuseDetection): el grado de coincidencia entre la detección y el comportamiento inaceptable conocido. Si se pudieran definir todos los comportamientos inaceptables, entonces cada comportamiento coincidente provocaría una alerta. Recopile características de comportamiento de operaciones anormales y establezca una base de datos de firmas relevante. Cuando el comportamiento del usuario o del sistema monitoreado coincide con los registros en la base de datos, el sistema considera que este comportamiento es una intrusión. Este modelo de detección tiene una tasa baja de falsos positivos y una tasa alta de falsos negativos. Para ataques conocidos, puede informar los tipos de ataque en detalle y con precisión, pero tiene un efecto limitado en ataques desconocidos y la base de datos de firmas debe actualizarse constantemente.
Extensión:
La detección de intrusiones se refiere a "detectar intrusiones o intrusiones en un sistema operando sobre el comportamiento, registros de seguridad o datos de auditoría, u otra información disponible en la red. Un intento de ingresar." La detección de intrusiones es la disciplina de detectar y responder al uso indebido de la computadora y sus funciones incluyen disuasión, detección, respuesta, evaluación de daños, predicción de ataques y apoyo al procesamiento.