Además de la duplicación del tráfico, ¿qué otros métodos se pueden utilizar para implementar detectores de detección de intrusiones?
1) Detección de funciones
La detección de funciones proporciona una descripción determinista de los métodos de ataque o intrusión conocidos y forma un patrón de evento correspondiente. Cuando un evento auditado coincide con un patrón de eventos de intrusión conocidos, se emite una alerta. En principio es similar al sistema experto. El método de detección es similar al método de detección de virus informáticos. Actualmente, se utiliza ampliamente la coincidencia de patrones basada en la descripción de características del paquete. Este método tiene una alta precisión de predicción y detección, pero es impotente contra intrusiones y ataques sin conocimiento empírico.
2) Detección estadística
Los modelos estadísticos se utilizan comúnmente para la detección de anomalías. Los parámetros de medición comúnmente utilizados en los modelos estadísticos incluyen: el número de eventos de auditoría, el tiempo de intervalo, el consumo de recursos, etc.
La mayor ventaja del método estadístico es que puede "aprender" los hábitos de uso del usuario, teniendo así una alta tasa de detección y usabilidad. Sin embargo, su capacidad de "aprendizaje" también brinda a los intrusos la oportunidad de hacer que los eventos de intrusión se ajusten a las leyes estadísticas de las operaciones normales mediante un "entrenamiento" gradual, pasando así por el sistema de detección de intrusiones.
3) Sistema experto
Los sistemas expertos se utilizan para detectar intrusiones, a menudo por comportamientos de intrusión característicos. Las llamadas reglas son conocimiento. Los diferentes sistemas y entornos tienen reglas diferentes, y las reglas a menudo no son universales. El establecimiento del sistema experto depende de la integridad de la base de conocimientos, que a su vez depende de la integridad y la naturaleza en tiempo real de los registros de auditoría. La extracción de características y la expresión de intrusión son la clave del sistema experto de detección de intrusiones. En la implementación del sistema, el conocimiento sobre la intrusión se convierte en una estructura si-entonces (también puede ser una estructura compuesta. La parte de condición son las características de la intrusión y la parte entonces son las medidas preventivas del sistema). La eficacia del uso de sistemas expertos para evitar intrusiones características depende enteramente de la integridad de la base de conocimientos del sistema experto.
4) Verificación de integridad de archivos
El sistema de verificación de integridad de archivos verifica los cambios de archivos en la computadora desde la última verificación. El sistema de verificación de integridad de archivos guarda una base de datos de resúmenes digitales para cada archivo. Cada vez que verifica, recalcula el resumen digital del archivo y lo compara con el valor en la base de datos. Si es diferente, el archivo ha sido modificado. es lo mismo, el archivo ha sido modificado El archivo permanece sin cambios.
El resumen digital del archivo se calcula mediante la función Hash. Independientemente de la longitud del archivo, el resultado del cálculo de la función Hash es un número de longitud fija. A diferencia de los algoritmos de cifrado, los algoritmos Hash son una función unidireccional irreversible. Cuando se utilizan algoritmos Hash altamente seguros, como MD5 y SHA, es casi imposible que dos archivos diferentes obtengan el mismo resultado hash. Así, cuando se modifica un archivo, se puede detectar. El verificador de integridad de archivos más completo es Tripwire.