-
A afirmação está toda correta. Com excessão do termo "por uso incorreto".
-
Na minha opinião o erro está em afirmar que serão gerados falsos positivos para novos ataques, quando neste caso os ataques não serão detectados.
-
Quando o ataque é novo ainda não existe uma assinatura correspondente a ele, dessa forma, o ataque não é detectado.
-
O erro da questão está no fato em dizer "geração de um número ELEVADO de falsos positivos", sendo que IDS por assinatura (chamado também de preemptivo ou detecção por abuso) faz é detectar um número menor de falso positivo, quando comparado com o IDS por anomalia (chamado também de comportamento ou reacionário)
-
A questão está toda errada. Esse trecho, por exemplo, "...falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS."
Quando acontecem novos ataques, para os quais ainda não foram especificadas assinaturas, na realidade, acontecem FALSOS NEGATIVOS. Ou seja, o sistema monitorado pelo IDS não detecta um ataque, quando, na verdade, está acontecendo um ataque.
-
QUestão muito bem feita do CESPE. Vamos "quebrar" a questão para facilitar:
"Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques."
"IDS por uso incorreto" podemos interpretar como "IDS baseado em anomalias" ou "IDS baseado em comportamento". De fato, se adotarmos esta linha estaria ERRADO, pois o IDS baseado em comportamento adota a análise heurística e estatística.
Nos dizeres de Nakamura, pag 286...Se o comportamento é diferente do que é listado (do padrão), então é perigoso. Aqui voce cadastra os comportamentos "normais" de uma rede. Veja que o CESPE "inverte" a logica, dizendo que "apenas o que esta na minha lista é considerado perigoso". Neste caso, estaríamos falando de um IPS... (estou "prevenindo" os comportamentos que considero suspeito em minha rede).
Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. "
Cuidado com a Confusão dos FALSOS...
Falso Positivo, para lembrar, é algo que "tem cara de positivo + na verdade é negativo" (seria o "Lobo em pele de cordeiro"). Na questão ele fala que, para ataques novos, são gerados um numero elevado de falsos positivos.
ERRADO, pois como estamos tratando de um IDS baseado em comportamento. Um novo tipo de ataque "se passaria" por algum fluxo novo não conhecido na tabela de estados de comportamento. Como não esta listado na tabela, então seria considerado um ataque. Lembrando que "Se o comportamento é diferente do que é listado (do padrão), então é perigoso.".
Enfim.. interpretando "IDS por uso incorreto" como "IDS baseado em anomalias" ou "IDS baseado em comportamento". seria isto.
OU o erro pode ser simplismente por que "IDS por uso incorreto" não seria um termo muito usual (ou mesmo ERRADO).
Resumo da ópera: Cabeça de examinador e bumbum de nenêm nunca se sabem o que e quando vem pela frente...
-
Em suma, o IDS pode detectar ataques com base nas ASSINATURAS (ataques conhecidos) e ANOMALIAS (comportamento do tráfego). Os bloqueios feitos com base nas assinaturas geram pouquíssimos falsos-positivos, afinal se ele não "conhece" determinado ataque ele não será detectado.
-
O Lucas acima tem razão....IDS por uso incorreto é o mesmo que IDS por assinatura:
http://repositorio.bce.unb.br/bitstream/10482/2672/1/2007_FabioMiziaraSilveira.pdf Apesar dos comentários dos colegas, ainda não consegui me convencer do erro desse item. Ele diz "assinaturas convenientes". O que eu entendi disso é que ataques novos podem ainda não ter uma assinatura confiável produzida e uma primeira versão dessa assinatura pode acabar gerando muitos falsos positivos. A medida que vai se estudando melhor o ataque, uma assinatura mais refinada pode ser disponibilizada e não são disparados tantos alarmes falsos (ou falso positivo, é a mesma coisa).
-
Concordo com quem fala sobre falsos negativos. Vejam bem: em um IDS baseado por assinaturas, para que ele detecte uma ameaça, ele precisa de ter, em seu banco de dados, uma assinatura sobre essa ameaça. Uma assinatura é um padrão de ataque, que será responsável pelo reconhecimento efetivo do ataque. Se o ataque é novo, então evidentemente não existe assinatura para ele em seu banco de dados. Ocorre que, portanto, este ataque não será detectado. Ou seja, trata-se de um falso negativo: um ataque que deveria ter sido detectado, mas que não foi. A questão erra ao inferir que trata-se de um falso positivo.
Conceitos:
Falso negativo: uma intrusão que deveria ser detectada.
Falso positivo: um alarme falso - uma detecção de algo que não é uma intrusão.
Comportamento normal/verdadeiro positivo: intrusão detectada.
Verdadeiro negativo: não ter detectado algo que, de fato, não é uma intrusão.
-
RETIRADO DA CESPE
ITEM 102 – mantido. Um IDS por uso incorreto não gera necessariamente um elevado número de falsos positivos. Ao contrário, são esperados falsos negativos associados aos ataques para os quais ainda não foram definidas as respectivas assinaturas.
-
quem gera falso positivo é a detecção por anomalia
-
Em vez de "..geram falsos positivos", deveria ser geram falsos positivos pois os ataques iam passar imunes, despercebidos.
-
Um sistema de detecção de intrusão (IDS) por uso incorreto (Que viagem! Que imaginação! Se isso quer dizer “anomaly based”, aqui já está o erro) utiliza descrições de ataques
previamente conhecidos (assinaturas) para identificar a ocorrência de ataques.
Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques
novos, para os quais ainda não foram especificadas assinaturas de ataque
convenientes, são lançados contra o sistema monitorado pelo IDS.
Esta "interessante" questão (IDS por uso incorreto!) pelo menos é fácil, pois contém 2 erros, quando um já basta.
IDS por “uso incorreto” (se isso quer dizer por "anomalias") não usa assinaturas, ele analisa o tráfego (erro 1); IDS por "assinatura" não gera falso positivo, pelo contrário, ele não percebe o malware que não esteja registrado em seu banco, dá falso negativo por não reconhecer um verdadeiro ataque (erro 2).
Eu tenho visto alguns colegas relacionarem sensoriamento "signature based" com sensoriamento por "detecção por regras", mas o que detecta por regras é o sensoriamento "policy detection".
-
Ano: 2009
Banca: CESPE
Órgão: INMETRO
Prova: Analista Executivo em Metrologia e Qualidade - Redes
Os sistemas de detecção de intrusão normalmente apresentam baixa incidência de falsos-positivos.
ERRADA
-
Gabarito Errado
Copiando a resposta para melhor visualização:
Questão muito bem feita do CESPE. Vamos "quebrar" a questão para facilitar:
"Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques."
"IDS por uso incorreto" podemos interpretar como "IDS baseado em anomalias" ou "IDS baseado em comportamento". De fato, se adotarmos esta linha estaria ERRADO, pois o IDS baseado em comportamento adota a análise heurística e estatística.
Nos dizeres de Nakamura, pag 286...Se o comportamento é diferente do que é listado (do padrão), então é perigoso. Aqui voce cadastra os comportamentos "normais" de uma rede. Veja que o CESPE "inverte" a logica, dizendo que "apenas o que esta na minha lista é considerado perigoso". Neste caso, estaríamos falando de um IPS... (estou "prevenindo" os comportamentos que considero suspeito em minha rede).
Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. "
Cuidado com a Confusão dos FALSOS...
Falso Positivo, para lembrar, é algo que "tem cara de positivo + na verdade é negativo" (seria o "Lobo em pele de cordeiro"). Na questão ele fala que, para ataques novos, são gerados um numero elevado de falsos positivos.
ERRADO, pois como estamos tratando de um IDS baseado em comportamento. Um novo tipo de ataque "se passaria" por algum fluxo novo não conhecido na tabela de estados de comportamento. Como não esta listado na tabela, então seria considerado um ataque. Lembrando que "Se o comportamento é diferente do que é listado (do padrão), então é perigoso.".
Enfim.. interpretando "IDS por uso incorreto" como "IDS baseado em anomalias" ou "IDS baseado em comportamento". seria isto.
OU o erro pode ser simplismente por que "IDS por uso incorreto" não seria um termo muito usual (ou mesmo ERRADO).
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
Resumindo:
FALSO POSITIVO é algo comum detectado como algo malicioso.
A questão está falando que o IDS usa assinatura, neste caso, a detecção por assinatura é aquela que só vai detectar o que está "assinado", ou seja, o que já foi detectado como algo malicioso e está lá na listinha do IDS/"antivirus" avisando exatamente quais são os códigos maliciosos.
Portanto podemos perceber que IDS por assinatura NÃO detecta falsos positivos.
MAS PORQUE MESMO?
Porque o SISTEMA DE ASSINATURA do IDS já tem definido o que é ou não malicioso e falso positivo é algo que NÃO É MALICIOSO.
-
Se o IDS está trabalhando com assinaturas em seu banco de dados, e há um ataque que ainda não foi especificado como tal, então o que acontecerá é uma maior incidência de falsos negativos (intrusão não detectada).
É isso?
-
Os sistemas de detecção de intrusão normalmente apresentam alta incidência de falsos-positivos.IDS por assinatura NÃO detecta falsos positivos. O erro está na parte final.
-
GABARITO: ERRADO.
-
Baseado em anomalias - Gera um grande numero de falso Negativo.
Falso negativo - Legal - Que bloqueou
Falso Positivo - Ruim - Que deixou passar.
-
Errado.
Falso negativo.
-
O IPS que é conhecido por gerar falso Negativo.
-
ERRADO
Trata-se de Falso Negativo (IDS)
Falso Positivo = indica que um arquivo é malicioso, mas na verdade ele é seguro.
Falso Negativo = indica que um arquivo é seguro, mas na verdade ele é malicioso.
-
ACERTEI POR PENSAR QUE SE TRATAVA DE UMA DESCRIÇÃO DE ANTIVIRUS HAHA
-
Por acaso, teria alguma correlação que o IDS gera falso negativo e o IPS gera falso positivo?
Alguém tem um informação que possa me ajuda a diferenciar quando o IDS e o IPS vão gerar um ou o outro?