Phân tích: Dựa trờn hai phương phỏp phỏt hiện xõm nhập: phỏp phỏt hiện xõm nhập:
Phỏt hiện sự lạm dụng (Misuse detection models): Dựa trên mẫu, u điểm chính xác
Phỏt hiện tỡnh trạng bất thường
(Anomaly detection models):
Tiền xử lý Phõn tớch bất thường So sỏnh mẫu Cảnh bỏo
Modul phân tích phát hiện tấn công
Phỏt hiện sự lạm dụng (Misuse detection models):
Phõn tớch cỏc hoạt động của hệ thống, tỡm kiếm cỏc sự kiện giống với cỏc mẫu tấn cụng đó biết trước.
Ưu điểm: phỏt hiện cỏc cuộc tấn cụng nhanh và chớnh xỏc, khụng đưa ra cỏc cảnh bỏo sai làm giảm khả nǎng hoạt động của mạng và giỳp cỏc người quản trị xỏc định cỏc lỗ hổng bảo mật trong hệ thống của mỡnh.
Nhược điểm: là khụng phỏt hiện được cỏc cuộc tấn cụng khụng cú trong cơ sở dữ liệu, cỏc kiểu tấn cụng mới, do vậy hệ thống luụn phải cập nhật cỏc
Tiền xử lý Phõn tớch bất thường So sỏnh mẫu Cảnh bỏo
Modul phân tích phát hiện tấn công
Phỏt hiện tỡnh trạng bất thường (Anomaly detection models):
Ban đầu, chúng l u giữ các mô tả sơ l ợc về các hoạt động bình th ờng của hệ thống.
Các cuộc tấn công xâm nhập gây ra các hoạt động bất bình th ờng và kỹ thuật này phát hiện ra các hoạt động bất bình th ờng đó.
Phát hiện dựa trên mức ng ỡng,
Phát hiện nhờ quá trình tự học,
Phát hiện dựa trên những bất th
Tiền xử lý Phõn tớch bất thường So sỏnh mẫu Cảnh bỏo
Modul phân tích phát hiện tấn công
Phỏt hiện tỡnh trạng bất thường (Anomaly detection models):
Ưu điểm: cú thể phỏt hiện ra cỏc kiểu tấn cụng mới, cung cấp cỏc thụng tin hữu ớch bổ sung cho phương phỏp dũ sự lạm dụng
Nhược điểm: thường tạo ra một số lượng cỏc cảnh bỏo sai làm
Tiền xử lý Phõn tớch bất thường So sỏnh mẫu Cảnh bỏo
Modul phân tích phát hiện tấn công