Network intrusion detection system: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Portale Sicurezza informatica |
m Aggiunti link |
||
Riga 5:
== Funzionamento ==
Le logiche su cui i NIDS si basano per riconoscere flussi non autorizzati si distinguono in:
:* '''Pattern Matching''': l'abilità del NIDS di confrontare i flussi a delle signatures, stile [[Antivirus]], e di notificarli prontamente. Le ''signatures'' in genere indicano un [[set]] di condizioni, ad esempio: Se un [[pacchetto]] è [[IPv4]], [[Transmission Control Protocol|TCP]], la [[porta]] di destinazione la 31337, e il [[payload]] contiene ''foo'', fai scattare "l'allarme". [[Anomaly based intrusion detection system|Pagina dedicata]].
:* '''Anomaly Detection''': il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e algoritmi matematici che si rifanno alle [[Request_for_Comments|RFC]] e ai loro standard. Se uno o piu flussi non rispettano gli standard, il sistema segnala l'errore con il consueto allarme. [[Signature based intrusion detection system|Pagina dedicata]].
Quando i NIDS rilevano degli eventi significativi li classificano in base alla loro criticità, ad esempio Low, Medium, High; spesso si presentano dei falsi positivi, ovvero eventi che in realtà non costituiscono un pericolo per i sistemi informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi.
| |||