Quale metodo è il migliore per IDS: euristico o basato su firma? [chiuso]

-1

In IDS basato su firma: mantiene un database delle firme che potrebbero segnalare un particolare tipo di attacco.

I problemi:

  • Nuovo attacco creato appositamente per non corrispondere alle firme di attacco esistenti.
  • L'attaccante che crea il traffico potrebbe avere accesso agli stessi strumenti IDS che stiamo usando e potrebbe essere in grado di testare l'attacco contro di loro al fine di evitare specificamente le nostre misure di sicurezza.

IDS basato su rilevamento euristico (Anomaly): anziché cercare corrispondenze, il rilevamento di intrusione euristico cerca un comportamento fuori dall'ordinario. Prendendo una linea di base del normale traffico e attività che si svolgono sulla rete.

I problemi:

  • Visualizzazione di un numero maggiore di falsi positivi che confrontano IDS basati su firma.
  • Se il traffico sulla rete cambia da ciò che era presente quando abbiamo preso la nostra linea di base, l'IDS potrebbe vedere questo come attacco per un'attività legittima che causa modelli di traffico insoliti.

Quindi, in generale, quale preferirei?

    
posta user5670635 18.01.2016 - 17:54
fonte

1 risposta

3

So in overall,which one should I prefer ?

Dovresti preferire quello in cui sei in grado di gestire i registri e quanta sicurezza hai bisogno e quanto tempo puoi investire per gestire i falsi positivi.

Le firme statiche non riescono a catturare nuovi attacchi ma hanno di solito meno falsi positivi. L'euristica potrebbe attirare più nuovi malware, ma di solito viene con un più alto tasso di falsi positivi. Hai bisogno di guardare attraverso i registri e decidere se questo è un vero positivo (cioè attacco) o no. Se non sei in grado di farlo, l'euristica probabilmente si intrometterà solo quando accederai a siti innocui.

A parte questo, le euristiche di solito non vengono usate da sole perché potrebbero essere in grado di rilevare un attacco senza firma ma che non riesce a rilevare gli attacchi che hanno una firma. Pertanto vengono solitamente utilizzati insieme alle firme statiche.

    
risposta data 18.01.2016 - 18:06
fonte

Leggi altre domande sui tag