سامانه تشخیص نفوذ: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
FreshmanBot (بحث | مشارکتها) جز ←روش تشخیص رفتار غیرعادی: اصلاح فاصله مجازی + اصلاح نویسه با ویرایشگر خودکار فارسی |
|||
خط ۱۷:
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل [[شبکههای عصبی]]، تکنیکهای [[یادگیری ماشین]] و حتی سیستمهای ایمنی زیستی استفاده میشود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیرعادی در نظر گرفته شود.
این روش به دلیل هشدارهای اشتباه(False Positive) با نرخ بالا در تشخیص در اکثر موارد توسط کارشناسان شبکه به صورت محدود استفاده
=== روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء ===
| |||