Tengo dificultades para entender la diferencia entre los IDS basados en el conocimiento y los IDS basados en el comportamiento.
Este enlace dice que un IDS basado en el conocimiento utiliza una base de datos de ataques específicos y vulnerabilidades del sistema , que es método de lista negra , creo. Pero, ¿qué pasa con un IDS que usa listas blancas? ¿Es este IDS todavía un IDS basado en el conocimiento? (o un IDS basado en el comportamiento?)
Aquí hay un ejemplo de un IDS simple, ¿alguien puede decirme si este IDS es un IDS basado en el conocimiento o un IDS basado en el comportamiento?
Ejemplo:
Un IDS simple tiene una lista blanca de todo el personal autorizado. Y la lista blanca se parece a [alice, bob]
.
Cuando llega Alice o Bob, no suena ninguna alarma. Pero cuando llega Jack, se activa la alarma de intrusión.
(también puede pensar alice, bob y jack como identificadores de paquetes de red)
Entonces, ¿basado en el conocimiento? basado en el comportamiento?