¿Cuál es el mejor método para IDS: heurístico o basado en firmas? [cerrado]

-1

En IDS basados en firmas: mantiene una base de datos de firmas que podrían indicar un tipo particular de ataque.

Problemas:

  • Nuevo ataque que se ha construido específicamente para no coincidir con las firmas de ataque existentes.
  • El atacante que elabora el tráfico puede tener acceso a las mismas herramientas IDS que estamos utilizando y puede probar el ataque contra ellos para evitar específicamente nuestras medidas de seguridad.

IDS basados en detección heurística (anomalía): en lugar de buscar coincidencias, la detección de intrusión heurística busca un comportamiento fuera de lo común. Tomando una línea de base del tráfico normal y la actividad que tiene lugar en la red.

Problemas:

  • Ver un mayor número de falsos positivos comparando IDSes basados en firmas.
  • Si el tráfico en la red cambia de lo que estaba presente cuando tomamos nuestra línea de base, el IDS puede ver esto como un ataque para una actividad legítima que causa patrones de tráfico inusuales.

Entonces, en general, ¿cuál debería preferir?

    
pregunta user5670635 18.01.2016 - 17:54
fuente

1 respuesta

3
  

Entonces, en general, ¿cuál debería preferir?

Debería preferir una en la que pueda manejar los registros y la cantidad de seguridad que necesita y el tiempo que puede invertir para tratar los falsos positivos.

Las firmas estáticas no podrán detectar nuevos ataques, pero generalmente tienen menos falsos positivos. Las heurísticas pueden detectar más malware nuevo, pero esto generalmente viene con una tasa más alta de falsos positivos. Debe revisar los registros y decidir si esto es realmente positivo (es decir, ataque) o no. Si no puede hacer esto, es probable que las heurísticas solo se interpongan al acceder a sitios inofensivos.

Aparte de eso, las heurísticas generalmente no se usan solas porque pueden ser capaces de detectar un ataque que no tiene firma pero no detecta los ataques que tienen una firma. Por lo tanto, generalmente se utilizan junto con las firmas estáticas.

    
respondido por el Steffen Ullrich 18.01.2016 - 18:06
fuente

Lea otras preguntas en las etiquetas