Tugurium/GTI

Glosario Terminología Informática

anomaly detection

0 detección de anomalías
Sistema de detección de intrusiones que funciona utilizando perfiles de actividad y uso de servicios y recursos del sistema. Es necesario definir previamente qué comportamiento cabe caracterizar como normal, mediante un proceso de aprendizaje, y así poder identificar desviaciones como actividades sospechosas. La detección de anomalías requiere perfiles de ajuste excelente para reducir las falsas alarmas.
Entre las ventajas de la detección de anomalías están:
- Los perfiles se crean de antemano, por lo que los atacantes no pueden probarlas para determinar qué es lo que podría activar una alarma.
- Los perfiles pueden actualizarse inmediatamente siempre que haya actualizaciones.
- El sistema también puede detectar ataques desde dentro de una red.
Entre las desventajas están:
- Configurar los perfiles consume mucho tiempo.
- Las definiciones de lo que se considera tráfico normal y anormal requiere una actualización constante.
- El entrenamiento del sistema puede llevar un tiempo excesivo y requerir ajustes constantes para reducir los falsos positivos.
2004-06-07