-
Errei, marquei letra e. Mas tá muito estranho isso.
De acordo com William Stallings, existe sim a detecção baseada em perfil.
1. Detecção de anomalia: Envolve a colta de dados relacionados ao comportamento de usuários legítimos durante um período de tempo. Então, testes estatísticos são aplicados ao comportamento observado para para determinar com alto nível de confiança se esse comportamento não é o de um usuário legítimo. As duas abordagens a seguir são usadas para detecção estatística de anomalias:
a. Detecção de limiar: Essa abordagem envolve definir limiares independentes de usuário para a frequência de ocorrência de vários eventos.
b. Baseada em perfil: Um perfil da atividade de cada usuário é desenvolvido e usado para detectar mudanças no comportamento de contas individuais.
Fonte: SEGURANÇA DE COMPUTADORES 2ª EDIÇÃO - WILLIAM STALLINGS - PG. 237 e 239
A questão não deveria ser anulada?
Como a FCC não é de anular questão, pensei no que o examinador queria do candidato.
Alguma sugestão?
-
IDS
1 Constitui-se de um conjunto de ferramentas automatizadas, que foram projetadas para detectar o acesso não autorizado a um sistema hospedeiro.
2 É capaz de detectar e alertar os administradores quanto a possíveis ataques.
Classificação
Baseado em assinaturas/conhecimento
1 Mantem um banco de dados extenso de ataques de assinaturas
2 Requerem conhecimento prévio do ataque para gerar uma assinatura precisa
3 O funcionamento é semelhante a de um antivírus
4 Gera menos falsos positivos
5 Não consegue detectar ataques não conhecidos
Baseado em anomalias/comportamento
1 Cria um perfil de trafego enquanto observa o trafego em operação normal
2 Gera mais falsos positivos
-
Pra mim a detecao baseada em comportamento e anormalia eram a mesma coisa
por isso fui de a
-
Como eu resolvi:
a) [ ERRADO ] desconheço - se alguém tiver alguma literatura que cite exatamente esse nome "Behavior-Expected Detection"
b) [ ERRADO ] a literatura cita esse tipo, como os colegas já postaram - no entanto, o exemplo citado não comparou o fenômeno (logar de madrugada) com a assinatura de outro ataque conhecido
c) [ GABARITO ] a literatura cita esse tipo, como os colegas já postaram - o camarada logar de madrugada foi a anomalia
d) [ ERRADO ] desconheço - se alguém tiver alguma literatura que cite exatamente esse nome "Specification-based Detection"
e) [ ERRADO ] aqui tem uma sutileza, a palavra "perfil" é português, em inglês teria de ser "profile", não existe "Perfil-based Detection", o que existe é "Profile-based Detection"
-
A literatura utiliza o termo Profile-Based Detection para se referir justamente a Anomaly-based systems:
Anomaly-based systems use profiles created by the IDS or the security administrator.
Como disse o Cleiton, em inglês teria de ser profile-based e não perfil-based.
-
Complementando os colegas, Profile-Based e Anomaly-Based são a mesma coisa:
http://webtorials.net/main/resource/papers/BCR/paper53/03-03sequeira.pdf
https://www.giac.org/paper/gsec/4322/fighting-system-intrusions-detection-prevention/107036
https://www.sans.org/reading-room/whitepapers/detection/web-application-attack-analysis-bro-ids-34042
-
Detecção de anomalia
Neste sistema, qualquer atividade que não corresponda a algo no banco de dados é considerada uma anomalia. Além disso, qualquer desvio do banco de dados configurado é considerado como um ataque e aciona uma ação adicional, este tipo de sistema deve ser configurado para entender o que é a atividade normal em uma rede, de modo que ele pode detectar desvios a partir desta linha de base. Se o sistema não é configurado como o que constitui o comportamento normal em uma rede, falsos positivos e negativos podem facilmente tornar-se um problema.
-
PALAVRA CHAVE NO TRECHO DO TEXTO --> (...)Neste caso, o IDS detectou um falso positivo(...)
DETECÇÃO POR ANOMALIAS GERA FALSO POSITIVO