“[...] é preciso frisar que a assinatura deve ser baseada em características normalmente ‘invariáveis’ dos ataques. Por exemplo, podemos citar o fa...

“[...] é preciso frisar que a assinatura deve ser baseada em características normalmente ‘invariáveis’ dos ataques. Por exemplo, podemos citar o fato da maioria dos exploits tentarem lançar um shell como payload. Detectando o shell, você pega a maioria dessas tentativas de conexão.”

Fonte: ASSUNÇÃO, M. Honeypots e Honeynets. 1 ed. Belo Horizonte: Marcos Flávio de Araújo Assunção, 2009, p. 8.

Com base no entendimento do trecho acima e no estudo dos conhecimentos vistos na Sistemas de Detecção de Intrusão: Tipos de IDS, uma classificação dos tipos de IDS, na detecção por comportamento das requisições indevidas, é o método que faz a análise:

por anomalia, em que o método de análise é com base em anomalias em relação ao padrão de uma atividade normal do sistema.

passiva, em que o método de análise é baseado em uma atividade que foge do padrão analisado do sistema.

ativa, em que o método de análise foca em um modelo de padrão entre os sistemas envolvidos de forma distribuída.

de IDS de Rede (NIDS), analisando as assinaturas dos pacotes por uso indevido dos pacotes TCP/IP.

de IDS de Host, em que os protocolos TCP/IP são analisados de forma ativa pela detecção em um Host IDS.