Protocolli come IP, TCP, UDP, ICMP e RPC secondo le reti Juniper potrebbero potenzialmente essere utili per gli obiettivi IDS nel determinare la direzione e le condizioni del test. In un certo senso, l'ID basato sull'anomalia del protocollo è considerato più pratico di altri metodi poiché utilizza i dati di intestazione TCP disponibili di base e altri attributi. Questo approccio è davvero pratico in realtà?
Il problema che gli IDS affrontano oggi è la crittografia. Una volta ricevuto un flusso di informazioni crittografate, puoi solo provare a dare un senso al suo comportamento.
Si basano su valori predefiniti (una porta o un protocollo predefinito per un servizio), su endpoint noti e su alcune attività di pre-crittografia (ad esempio strette di mano).
Quindi direi che è più una delle poche possibilità rimaste oggi, piuttosto che essere "più pratico".
Leggi altre domande sui tag protocols anomaly-detection ids