Подходы к обнаружению вторжений

В настоящее время разделяют два подхода к обнаружению вторжений: обнаружение аномалий и обнаружение злоупотреблений.

Системы обнаружения злоупотреблений составляют и собирают в одном хранилище образцы («сигнатуры») известных атак. Затем они проверяют, не совпадает ли поведение наблюдаемого объекта с шаблоном поведения из этого хранилища. В случае совпадения система подает сигнал, что происходит попытка вторжения. Метод эффективен для обнаружения известных атак, но он не позволяет обнаруживать ранее неизвестные атаки. Кроме того, база образцов атак должна постоянно обновляться.

Методы обнаружения аномалий формируют профиль нормального поведения объекта (т. е., пользователя, файла, программы, компьютера или сети), наблюдают за активностью этого объекта и подают сигнал, если поведение значительно отличается от нормального. Профиль нормального поведения может быть построен на основе наблюдения за объектом в нормальных условиях или описан заранее. Такие методы позволяют обнаруживать ранее неизвестные атаки. Но можно ожидать ложной тревоги, когда аномалии в поведении вызваны необычным поведением пользователя, а не атакой извне.