IDS на основе аномалий

IDS на основе аномалий (англ. Anomaly-Based Intrusion Detection System) представляет собой систему для обнаружения компьютерных вторжений и злоупотреблений путём мониторинга активности системы и её классификации на нормальную или аномальную.

Классификация основана на эвристике или правилах, а не на моделях или сигнатурах. Вместо этого система пытается обнаружить любые злоупотребления, которые не вписываются в нормальную работа системы. IDS на основе аномалий кардинально отличается от систем, основанных на заранее созданных сигнатурах, которые способны обнаружить лишь нападения.

Общие сведения

Общую информацию Вы можете получить, перейдя по следующим ссылкам:

Обнаружение аномалий в Википедии

Системы обнаружения аномалий: новые идеи в защите информации

Современные модели обнаружения аномалий в компьютерных системах

Расширенные сведения

С дополнительной информацией об этом понятии Вы можете ознакомиться ниже.

Для того, чтобы определить, какой трафик является атакой, системы должны быть обучены распознавать нормальную деятельность системы. Это можно сделать несколькими способами, чаще всего с применением методов типа искусственного интеллекта.

При использовании системы, использующей нейронные сети, была достигнута высокая эффективность.

Другой метод заключается в определении того, что компроментирует нормальное использование системы. Он включает в себя использование строгой математической модели, и отмечает любое отклонение от этой модели как атаку. Такая система называется "строгое обнаружение аномалий" (англ. strict anomaly detection).

IDS на основе аномалий имеет некоторые недочеты. Прежде всего, это высокий процент ложных срабатываний и возможность обойти защиту при правильно организованной атаке. Были предприняты попытки для решения этих проблем в рамках методов, описанных в PAYL и Model for IDS MCPAD.