He estado investigando la detección de intrusiones para una clase que tomo y he llegado a un punto en el que, después de leer tantos artículos, la diferencia entre los dos parece borrosa.
La detección de anomalías en una red utiliza el análisis estadístico para comparar la información nueva con el tráfico regular de la red.
Y la detección de uso indebido tiene un conjunto de patrones predefinidos que se aceptan en la red, es decir, una base de datos de la lista blanca de comportamientos de la red.
Lo que me cuesta entender es a nivel de datos, ¿cuál es la diferencia? Los conjuntos de datos de detección de anomalías de mi investigación suelen ser paquetes de datos como este:
0,tcp,http,SF,181,5450,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,8,8,0.00,0.00,0.00,0.00,1.00,0.00,0.00,9,9,1.00,0.00,0.11,0.00,0.00,0.00,0.00,0.00,normal. (KDD99)
Cuando la información se obtiene a través del monitoreo del tráfico de la red, ¿de dónde proviene exactamente la información de detección de mal uso? Si es una lista de comportamientos válidos, ¿cómo se cura esta lista? ¿Cuál es su formato general?
Después de usar eruditos, etc., algunos artículos apuntaron a que el conjunto de datos era el mismo pero se analizaron de manera diferente, es decir, ambos usan información de paquetes de red, pero no estoy seguro de si esto es correcto.