diferencia entre los IDS basados en el conocimiento y los IDS basados en el comportamiento

1

Tengo dificultades para entender la diferencia entre los IDS basados en el conocimiento y los IDS basados en el comportamiento.

Este enlace dice que un IDS basado en el conocimiento utiliza una base de datos de ataques específicos y vulnerabilidades del sistema , que es método de lista negra , creo. Pero, ¿qué pasa con un IDS que usa listas blancas? ¿Es este IDS todavía un IDS basado en el conocimiento? (o un IDS basado en el comportamiento?)

Aquí hay un ejemplo de un IDS simple, ¿alguien puede decirme si este IDS es un IDS basado en el conocimiento o un IDS basado en el comportamiento?

Ejemplo:

Un IDS simple tiene una lista blanca de todo el personal autorizado. Y la lista blanca se parece a [alice, bob] .

Cuando llega Alice o Bob, no suena ninguna alarma. Pero cuando llega Jack, se activa la alarma de intrusión.

(también puede pensar alice, bob y jack como identificadores de paquetes de red)

Entonces, ¿basado en el conocimiento? basado en el comportamiento?

    
pregunta Emma 26.04.2017 - 08:47
fuente

1 respuesta

1

El conocimiento basado en el conocimiento es como un antivirus basado en firmas: usted llena una base de datos de "maldad" y busca esas cosas.

El comportamiento basado en el comportamiento aprende lo que es normal en la red a lo largo del tiempo, luego alerta sobre cosas que son "extrañas".

Su enfoque en la lista blanca sigue siendo "basado en el conocimiento" porque rellena la base de datos de la lista blanca. Un enfoque basado en el comportamiento aprendería que Alice y Bob son usuarios normales al observar el tráfico.

    
respondido por el schroeder 26.04.2017 - 09:18
fuente

Lea otras preguntas en las etiquetas