Acerca de sistemas de detecção de intrusos (IDS e IPS), assi...
( ) Aprendizado de máquina (machine learning) tem sido utilizado para aumentar a eficiência de IDS baseados em comportamento.
( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques.
( ) IPS baseados em assinatura trazem o risco de bloquear tráfego legitimo.
As afirmativas são, respectivamente,
GAB E
I - O IDS baseado em comportamento/anomalia consegue detectar um ataque mesmo sem o conhecer. O uso de machine learning pode sim aumentar sua eficiência
II - NIDS não é capaz de analisar informações criptografadas, só o HIDS
III - Os alarmes falsos acontecem tanto na abordagem baseada em assinatura quanto na baseada em anomalia. No entanto, o que usa "detecções por anomalia, são muito mais eficientes, gerando um numero bem menor de alarmes falsos"
[1] https://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/assinaturas.html
✔️ PARA AJUDAR A FIXAR
Você precisa saber sobre o NIDS:
>> Não informa ataques bem ou mal sucedidos
>> Não analisa informações criptografadas
>> Utiliza recurso de Sniffer
>> Baseado em redes
>> Monitora e analisa todo o tráfego no segmento da rede
>> É um tipo de IDS
( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques. (certo) Ex: um SSL
FONTE: Alfacon
Vamos juntos!!
✍ GABARITO: E ✅de É sua a vaga
TUDO V
1- Aprendizado de máquina (machine learning) é um campo da inteligência artificial que explora a construção de algoritmos que podem aprender com seus erros e com a experiência prévia de forma automatizada, com o mínimo de intervenção humana. Ele tem sido utilizado para aumentar a eficiência de IDS (Sistemas de Detecção de Intrusão) baseados em comportamento. Um exemplo disso é o IDS baseado em anomalia, que mapeia o perfil de rede considerado “normal” e emprega técnicas como redes neurais e aprendizado de máquina para identificar um tráfego anômalo. Isso permite que o sistema identifique comportamentos maliciosos e possa tomar medidas para proteger a rede.
2- NIDS é a sigla para Network Intrusion Detection System (Sistema de Detecção de Intrusão em Rede). É uma classe de IDS (Sistema de Detecção de Intrusão) que foca em analisar o fluxo de informações que transitam pela rede, buscando encontrar padrões comportamentais suspeitos . Um sistema NIDS geralmente é implementado em locais estratégicos da rede, como antes ou logo após o firewall, em sub-redes importantes dentro de uma mesma rede ou em áreas DMZ para evitar que usuários dentro dessa área tentem acessar a rede corporativa .
A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques porque ele é incapaz de analisar o tráfego criptografado, como é o caso de VPNs . Isso significa que quando os pacotes são criptografados, o NIDS não consegue ler seu conteúdo e, portanto, não pode detectar se há algum ataque ou atividade maliciosa acontecendo.
3- IPS baseados em assinatura trazem o risco de bloquear tráfego legítimo porque eles usam assinaturas para identificar tráfego mal-intencionado. Normalmente, essas assinaturas são baseadas em vulnerabilidades ou explorações específicas e podem ser detecção baseada em assinatura ou detecção baseada em anomalia estatística para identificar atividade mal-intencionada. No entanto, como as assinaturas são criadas com base em padrões conhecidos de tráfego mal-intencionado, elas podem não ser capazes de distinguir entre tráfego legítimo e mal-intencionado em todos os casos. Isso pode levar a bloqueios de tráfego legítimo, o que é conhecido como falso positivo.