-
Existem duas técnicas de detecção de intrusão:
- baseado em assinatura: o tráfego da rede é analisado de acordo com padrões de ataques, conhecidos como assinaturas;
- baseado em anomalias ou detecção de comportamento: é estabelecido um padrão normal de comportamento para o tráfego de rede e quando for detectado uma atividade diferente deste padrão, um alarme é disparado.
-
Consoante Nakamura(Segurança de Redes em ambientes coorporativos) existem duas metodologias de detecção, a saber:
-Knowledge based instruction detection - detecções realizadas com fundamentos em base de dados c informações sobre ataques conhecidos.Procura por padrão ou assinatura;
-Behavior-based instrusion detection - identifica desvios de comportamento dos user ou dos sistemas,independente de S.O. ou plataforma.Faz análise de protocolos ,suscetível a técnicas de inserção e evasão.
O item está errado, pois se refere a metodologia Knowledge based instruction detection.
-
Os IDS's podem ser classificados segundo inúmeras características:
No caso da questão se refere pelo Método de Detecção, que no caso temos:
-Pelo Método de Detecção *Detecção por assinaturas (Signature Detection)
Analisa a atividade do sistema à procura de padrões de ataques conhecidos, chamado assinaturas.
*Detecção por comportamento (Behavior Detection)
Também conhecido como IDS baseado em anomalias, sua intenção é definir o comportamento normal de um sistema e desvios abrutos a essa normalidade. Sistemas desse tipo normalmente requer que passe por um tempo um período de aprendizagem em que o comportamento normal é aprendido atra'ves de IA(inteligência artificial) ou modelação estatística. A grande vantagem desse método é que permite, teoricamente, detectar ataques desconhecidos. A grande desvatagem é a dificuldade de definir modelos robustos de bom comportamento e acuidade ao ajustar o grau de sensibilidade do sistema.
-Pela Fonte de Eventos
-Pela rapidez de detecção
-Pela reatividade
-Pela distributividade
.: Portanto a questão é ERRADO, pois esta se referindo a detecção por assinaturas (Signature Based)
-
assinatura - baixo falso positivo , mas pode torna-se obsoleto, detectando apenas ataques conhecidos
anomalias / comportamento - alto numero de falsos positivos, detecta ataques desconhecidos
-
Ano: 2014
Banca: FCC
Órgão: TJ-AP
Prova: Analista Judiciário - Área Apoio Especializado - Tecnologia da Informação
Resolvi errado
Suponha que área de TI do Tribunal de Justiça do Amapá tenha identificado uma série de ocorrências indesejadas de redução de desempenho da rede de computadores e servidores de dados e aplicação, em razão de ações maliciosas de software ou de pessoas. Essas aparentes ações maliciosas não são destinadas a nenhum servidor ou sistema de software específico. A equipe de TI quer capturar os infratores durante a ação, antes de realmente danificarem seus recursos. Para isso precisa implantar um
a
Proxy
b
Antivírus.
c
Firewall.
d
IDS - Intrusion Detection System.
letra D
1 [66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à redução de falsos-positivos.
certo
Prova: CESPE - 2010 - ABIN - AGENTE TÉCNICO DE INTELIGÊNCIA - ÁREA DE TECNOLOGIA DA INFORMAÇÃO
Disciplina: Redes de Computadores | Assuntos: Segurança de Redes;
Ver texto associado à questão
Em um sistema de detecção de intrusão de rede, a assinatura consiste em um padrão que é verificado no tráfego, com o objetivo de detectar certo tipo de ataque.
Certo Errado
CERTO
Prova: CESPE - 2011 - MEC - Gerente de Segurança
Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão;
Ver texto associado à questão
Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.
Certo Errado
CERTO
Prova: CESPE - 2010 - MPU - Técnico de Informática
Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão;
Ver texto associado à questão
Considere que essa empresa tenha adotado um sistema de detecção de intrusos embasado em anomalias. Nessa situação, o sistema adotado cria um perfil de tráfego a partir da operação normal do sistema sem depender de conhecimentos prévios de ataques já registrados.
Certo Errado
CORRETO
-
Um sistema de detecção de intrusão (IDS) baseado em assinatura, também chamado IDS por uso incorreto, utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques.
-
AssiNatura =CoNhecimento
AnoMalia = CoMportamento
Errado.
A questão misturou um com o outro.
-
Prezados,
Um IDS pode funcionar de 2 formas , ou na detecção por assinaturas ou na detecção por comportamento. Na detecção por assinaturas é que o IDS busca por padrões específicos de tráfego exerno que seja embasado em assinatura.
Portanto a questão está errada.
-
Corrigindo a questão:
''O modo de análise de tráfego realizada por um sistema de detecção de intrusão (IDS) do tipo detecção por assinatura fundamenta-se na busca por padrões específicos de tráfego externo que seja embasado em assinatura.''
IDS trabalha sob duas técnicas distintas:
a) detecção por assinatura - utiliza assinaturas de ataques previamente conhecidos (padrões) para identificar a ocorrência de novos ataques.
b) detecção por anomalia - um padrão normal de comportamento é definido para uma rede; qualquer desvio gerará um alerta.
Erros, avisem no privado.
-
COMPORTAMENTO != ASSINATURA