Войти
Система обнаружения вторжений на основе аномалий - это система обнаружения вторжений для обнаружения сетевых и компьютерных вторжений и неправомерного использования посредством мониторинга активность системы и классифицировать ее как нормальную или аномальную. Классификация основана на эвристике или правилах, а не на шаблонах или сигнатурах, и пытается обнаружить любой тип неправильного использования, выходящий за рамки нормальной работы системы. В этом отличие от систем на основе сигнатур, которые могут обнаруживать только атаки, для которых сигнатура была создана ранее.
Чтобы точно идентифицировать трафик атаки, систему необходимо научить распознавать нормальную активность системы. Две фазы большинства систем обнаружения аномалий состоят из фазы обучения (на которой создается профиль нормального поведения) и фазы тестирования (где текущий трафик сравнивается с профилем, созданным на этапе обучения). Аномалии обнаруживаются несколькими способами, чаще всего с помощью методов типа искусственный интеллект. Системы, использующие искусственные нейронные сети, были использованы с большим успехом. Другой метод - определить, что включает в себя нормальное использование системы, используя строгую математическую модель, и пометить любое отклонение от этого как атаку. Это называется строгим обнаружением аномалий. Другие методы, используемые для обнаружения аномалий, включают методы интеллектуального анализа данных, методы на основе грамматики и искусственная иммунная система.
Сетевые системы обнаружения аномальных вторжений часто обеспечивают вторую линию защиты для обнаружения аномального трафика на физический и сетевой уровни после того, как он прошел через брандмауэр или другое устройство безопасности на границе сети. Системы обнаружения аномальных вторжений на основе хоста являются одним из последних уровней защиты и находятся на оконечных устройствах компьютеров. Они обеспечивают точную и детальную защиту конечных точек на уровне приложений.
Обнаружение вторжений на основе аномалий как на уровне сети, так и на уровне хоста имеет несколько недостатков; а именно высокий уровень ложных срабатываний и возможность быть обманутыми правильно проведенной атакой. Были предприняты попытки решить эти проблемы с помощью методов, используемых PAYL и MCPAD.
.
