Indietro

ⓘ Anomaly based intrusion detection system




                                     

ⓘ Anomaly based intrusion detection system

Un Anomaly Based Intrusion Detection System è una tipologia di Intrusion detection system che rileva violazioni alla sicurezza informatica attraverso unanalisi del sistema e unidentificazione e classificazione delle anomalie. Le anomalie possono essere rilevate tramite unanalisi comportamentale del traffico osservato in precedenze, contrariamente a quanto accade nei sistemi signature based dove la ricerca viene fatta tramite regole, tramite la ricerca di pattern o di firme caratteristiche delle violazioni di sicurezza. I sistemi ADS sono un miglioramento dei sistemi basati sullindividuazione delle violazioni tramite regole.

Per poter individuare unanomalia il sistema deve conoscere il comportamento normale del sistema analizzato; per far ciò possono essere utilizzati approcci differenti:

  • sistemi derivati dallintelligenza artificiale come le reti neurali che vengono addestrate a classificare il traffico di rete come normale o sospetto
  • tramite lutilizzo di un modello matematico che rappresenti il comportamento atteso del sistema. Studiando le deviazioni dal modello lAnomaly Based

Intrusion Detection System è in grado di individuare le anomalie e di segnalarle.

Il problema più grosso dei sistemi ADS è laddestramento. Sono possibili due approcci:

  • addestramento continuo: il sistema si addestra non appena parte e utilizza i nuovi dati che riceve per rimodellare la sua conoscenza. Il vantaggio di questo approccio è che il sistema può "assorbire" eventuali modifiche nel profilo. Per esempio se aumentano gli utenti di una rete il sistema solleverà un allarme, fino al momento in cui capisce che il nuovo schema è diventato il traffico regolare. Lo svantaggio di questo approccio è che se la durata dellattacco è pari allinerzia del sistema un attaccante può essere in grado di addestrare il sistema dallesterno.
  • addestramento preventivo: il sistema viene addestrato con quello che viene ritenuto del traffico corretto. Qualunque tipo di analisi viene effettuata come un discostamento da questo traffico modello. Questo approccio ha lo svantaggio di richiedere che venga identificato un certo tipo di traffico che è certamente privo di attacchi. Ha il vantaggio che un attaccante non può riaddestrare il sistema dallesterno.

Infine, rispetto ad un IDS un anomaly detection ha il vantaggio che non deve essere aggiornato il suo database come avviene anche per gli antivirus.