Share to: share facebook share twitter share wa share telegram print page

Anomaly based intrusion detection system

Un Anomaly Based Intrusion Detection System è una tipologia di Intrusion detection system che rileva violazioni alla sicurezza informatica attraverso un'analisi del sistema e un'identificazione e classificazione delle anomalie. Le anomalie possono essere rilevate tramite un'analisi comportamentale del traffico osservato in precedenze (euristica), contrariamente a quanto accade nei sistemi signature based dove la ricerca viene fatta tramite regole, tramite la ricerca di pattern o di firme caratteristiche delle violazioni di sicurezza. I sistemi ADS sono un miglioramento dei sistemi basati sull'individuazione delle violazioni tramite regole.

Descrizione

Per poter individuare un'anomalia il sistema deve conoscere il comportamento normale del sistema analizzato; per far ciò possono essere utilizzati approcci differenti:

  • sistemi derivati dall'intelligenza artificiale come le reti neurali che vengono addestrate a classificare il traffico di rete come normale o sospetto
  • tramite l'utilizzo di un modello matematico che rappresenti il comportamento atteso del sistema. Studiando le deviazioni dal modello l'Anomaly Based

Intrusion Detection System è in grado di individuare le anomalie e di segnalarle.

Il problema più grosso dei sistemi ADS è l'addestramento. Sono possibili due approcci:

  • addestramento continuo: il sistema si addestra non appena parte e utilizza i nuovi dati che riceve per rimodellare la sua conoscenza. Il vantaggio di questo approccio è che il sistema può "assorbire" eventuali modifiche nel profilo. Per esempio se aumentano gli utenti di una rete il sistema solleverà un allarme, fino al momento in cui capisce che il nuovo schema è diventato il traffico regolare. Lo svantaggio di questo approccio è che se la durata dell'attacco è pari all'inerzia del sistema un attaccante può essere in grado di addestrare il sistema dall'esterno.
  • addestramento preventivo: il sistema viene addestrato con quello che viene ritenuto del traffico corretto. Qualunque tipo di analisi viene effettuata come un discostamento da questo traffico (modello). Questo approccio ha lo svantaggio di richiedere che venga identificato un certo tipo di traffico che è certamente privo di attacchi. Ha il vantaggio che un attaccante non può riaddestrare il sistema dall'esterno.

Infine, rispetto ad un IDS un anomaly detection ha il vantaggio che non deve essere aggiornato il suo database (come avviene anche per gli antivirus).

Voci correlate

Collegamenti esterni

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi
Kembali kehalaman sebelumnya