¿Cómo entender la tecnología de detección de intrusiones anómalas?
La detección de intrusiones es una tecnología de seguridad de red utilizada para detectar cualquier violación o intento de violar la confidencialidad, integridad o disponibilidad de un sistema. Proporciona una prevención eficaz de intrusiones al monitorear el estado y la actividad de los sistemas protegidos y utilizar la detección de anomalías o la detección de uso indebido para detectar comportamientos de redes y sistemas no autorizados o maliciosos. Un sistema de detección de intrusiones (IDS) es un sistema que consta de hardware y software que detecta un sistema o red en busca de posibles intrusiones o ataques. IDS detecta y monitorea actividades relacionadas con la seguridad en tiempo real examinando patrones de ataque específicos, configuraciones del sistema, vulnerabilidades del sistema, versiones defectuosas de programas y patrones de comportamiento del sistema o del usuario.
La detección de intrusiones proporciona un método para detectar ataques de intrusión y abuso de poder por parte de usuarios legítimos. Su premisa importante es que se puede distinguir el comportamiento ilegal del comportamiento legal, es decir, la naturaleza del comportamiento se puede analizar mediante. extraer características de patrones de comportamiento. Un sistema básico de detección de intrusiones necesita resolver dos problemas:
El primero es cómo extraer de forma completa y confiable datos que describan las características de comportamiento.
El segundo es cómo detectar de manera eficiente y precisa el comportamiento; sobre los datos característicos. Determinar la naturaleza del comportamiento.
El sistema de detección de intrusiones consta de tres módulos básicos: recopilación y preprocesamiento de datos, análisis y detección de datos, y respuesta a eventos. La arquitectura del sistema se muestra en la siguiente figura.
Recogida y preprocesamiento de datos. Este módulo es principalmente responsable de recopilar datos de la red o del entorno del sistema y realizar un preprocesamiento simple para facilitar el análisis por parte del módulo de detección y luego transmitirlos directamente al módulo de detección. Los sistemas de detección de intrusiones dependen en gran medida de la fiabilidad y exactitud de la información recopilada. La elección de la fuente de datos depende de lo que se necesita detectar.
Análisis y detección de datos. Este módulo es el principal responsable de analizar los datos recopilados para determinar si se ha producido una intrusión. Hay dos enfoques principales: detección de uso indebido y detección de anomalías.
Respuesta al evento. Este módulo es el principal responsable de realizar operaciones de respuesta a los resultados del análisis y tomar las medidas necesarias y adecuadas para evitar más intrusiones o restaurar el sistema dañado.
El principal requisito previo para la detección de intrusiones anormales son las actividades de intrusión como un subconjunto de actividades anormales. La situación ideal es que el conjunto de actividades anormales sea igual al conjunto de actividades de intrusión. En este caso, si se puede detectar toda la actividad anómala, también se puede detectar toda la actividad intrusiva. Sin embargo, el conjunto de actividades intrusivas no siempre coincide con el conjunto de actividades anómalas. Hay cuatro posibilidades de actividades:
Intrusivas pero no anormales; no invasivas y anormales;
El problema que debe resolverse mediante la detección de intrusiones anómalas es construir un conjunto de actividades anormales y descubrir un subconjunto de actividades de intrusión a partir de él. Los métodos de detección de intrusiones anormales se basan en el modelado de anomalías, y diferentes modelos constituyen diferentes métodos de detección. La detección de intrusiones anormales predice cambios en el comportamiento del usuario observando desviaciones de un conjunto de valores medidos y toma decisiones. La característica de la tecnología de detección de intrusiones anormales es que puede detectar intrusiones desconocidas de manera muy efectiva, pero debido a que el sistema necesita crear y actualizar archivos de configuración de características de comportamiento normal en tiempo real, consumirá más recursos del sistema.