Differenza tra IDS basati sulla conoscenza e ID basati sul comportamento

Naviga le tue risposte
1

Ho difficoltà a comprendere la differenza tra IDS basati sulla conoscenza e IDS basato sul comportamento.

Questo link dice che un IDS basato sulla conoscenza utilizza un database di attacchi specifici e vulnerabilità di sistema , che è metodo blacklist , penso. Ma che dire di un IDS che utilizza la lista bianca? Questo IDS è ancora un IDS basato sulla conoscenza? (o un IDS basato sul comportamento?)

Ecco un esempio di un IDS semplice, qualcuno può dirmi che questo ID è un IDS basato sulla conoscenza o un IDS basato sul comportamento?

Esempio:

Un IDS semplice ha una lista bianca di tutto il personale autorizzato. E la lista bianca sembra [alice, bob] .

Quando arriva Alice o Bob, nessun allarme è attivo. Ma quando arriva il jack, viene attivato l'allarme di intrusione.

(puoi anche pensare a alice, bob e jack come ID dei pacchetti di rete)

Quindi, basato sulla conoscenza? basata sul comportamento?

    
posta Emma 26.04.2017 - 08:47
fonte

1 risposta

1

Basato sulla conoscenza è come un antivirus basato sulle firme: popola un database di "cattiveria" e cerca quelle cose.

Basato sul comportamento impara cosa è normale per la rete nel tempo, quindi avvisa su cose che sono "strane".

Il tuo approccio alla lista bianca è ancora "basato sulla conoscenza" perché compila il database della lista bianca. Un approccio basato sul comportamento apprenderebbe che Alice e Bob sono normali utenti guardando il traffico.

    
risposta data 26.04.2017 - 09:18
fonte

Leggi altre domande sui tag

Il negozio di carte di credito prima quattro e le ultime quattro quali SAQ PCI? Come difendersi dall'attaccante senza intaccare altri utenti dello stesso gateway NAT