In IDS basato su firma: mantiene un database delle firme che potrebbero segnalare un particolare tipo di attacco.
I problemi:
- Nuovo attacco creato appositamente per non corrispondere alle firme di attacco esistenti.
- L'attaccante che crea il traffico potrebbe avere accesso agli stessi strumenti IDS che stiamo usando e potrebbe essere in grado di testare l'attacco contro di loro al fine di evitare specificamente le nostre misure di sicurezza.
IDS basato su rilevamento euristico (Anomaly): anziché cercare corrispondenze, il rilevamento di intrusione euristico cerca un comportamento fuori dall'ordinario. Prendendo una linea di base del normale traffico e attività che si svolgono sulla rete.
I problemi:
- Visualizzazione di un numero maggiore di falsi positivi che confrontano IDS basati su firma.
- Se il traffico sulla rete cambia da ciò che era presente quando abbiamo preso la nostra linea di base, l'IDS potrebbe vedere questo come attacco per un'attività legittima che causa modelli di traffico insoliti.
Quindi, in generale, quale preferirei?