Ho svolto ricerche sul rilevamento delle intrusioni per una classe che sto prendendo e sono giunto a un certo punto in cui, dopo aver letto così tanti articoli, la differenza tra i due sembra sfocata.
Il rilevamento di anomalie su una rete utilizza l'analisi statisticamente per confrontare le nuove informazioni con il traffico di rete regolare.
E il rilevamento di un uso improprio ha una serie di modelli predefiniti accettati sulla rete, cioè un database di whitelist di comportamenti di rete.
Quello che sto cercando di capire è a livello di dati qual è la differenza? I set di dati di rilevamento anomalo della mia ricerca sono solitamente pacchetti di dati come questo:
0,tcp,http,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,0.00,0.00,0.00,0.00,1.00,0.00,0.00,9,9,1.00,0.00,0.11,0.00,0.00,0.00,0.00,0.00,normal. (KDD99)
Dove si ottengono le informazioni tramite il monitoraggio del traffico di rete, quindi da dove provengono esattamente i dati di rilevamento di uso improprio? Se si tratta di un elenco di comportamenti validi, come viene gestito questo elenco? Qual è il suo formato generale?
Dopo aver usato studiosi ecc. alcuni articoli indicavano che il set di dati era identico ma analizzato in modo diverso, cioè entrambi utilizzano le informazioni dai pacchetti di rete, ma sono incerto se questo è corretto.