¿Cómo detectan IDS e IPS el tráfico malicioso: verdadero/falso? – HyperHCI.com

Es muy confuso cómo el IDS (Sistema de detección de intrusiones) y el IPS (Sistema de prevención de intrusiones) detectan el tráfico de red malicioso y generan alertas de verdadero positivo, verdadero negativo, falso positivo y falso negativo.

Hay CUATRO tipos de eventos IDS, IPS: DOS son esperados y DOS son inesperados:

• Verdadero positivo
• Verdadero Negativo
• Falso positivo
• Falso negativo

Ejemplo: entender VERDADERO/FALSO con valor binario

Intentemos comprender los cuatro tipos de eventos de tráfico IDS, IPS para hacerlo simple, supongamos:

El tráfico se pronostica como:
(0) «Positivo» significa = Tráfico malicioso indica con «1»
(1) «Negativo» significa = Tráfico Normal indica con «0»

Resultado del tráfico real/real como VERDADERO/FALSO
(1) VERDADERO indica con «1»
(0) FALSO indica con «0»

Realice los eventos previstos y el mapeo de resultados reales con 1 y 0

Entendamos con el siguiente ejemplo:

• Resultado esperado – Buen RESULTADO
  • Verdadero positivo [1 = 1] –> Ataque de tráfico malicioso VERDADERO, alerta generada.!
  • Verdadero Negativo [1=0] –> Sin tráfico malicioso y sin advertencias
• Resultado inesperado – MAL RESULTADO
  • Falso positivo[0=1] –> No hay tráfico malicioso, pero se generan falsas alertas
  • Falso negativo[0=0] –> Ataque de tráfico malicioso VERDADERO, ¡pero no se genera ninguna alerta!

El objetivo de IDS, IPS es tener sólo VERDADEROS POSITIVOS y VERDADEROS NEGATIVOS. pero la mayoría de los IDS, IPS tienen FALSOS POSITIVOS y FALDOS NEGATIVOS también.

Se espera IDS, resultados de IPS son [Good Result]

IDS, IPS están diseñados para producir después de DOS resultados, lo que se considera un buen resultado y, aparte de esto, se considerará un MAL resultado que no es aceptable.

VERDADERO POSITIVO [1 =1]: El software/dispositivo IDS, IPS predice el tráfico de red como «Tráfico malicioso {1)» y el valor resultante del análisis posterior es VERDADERO (1) – IDS, IPS genera una alerta de ataque.

Resumen: Llega el tráfico malicioso previsto (1) y el análisis posterior resultó VERDADERO (1) La fórmula es [1 = 1: Attack is happening (TRUE)]

VERDADERO NEGATIVO [1=0]: El software/dispositivo IDS, IPS predice el tráfico de red como «Tráfico malicioso {1)» y el valor del resultado del análisis posterior es FALSO (0) – IDS, IPS no genera ninguna alerta.

Resumen: Llega el tráfico malicioso previsto (1), y después del análisis resultó FALSO (0) La fórmula es [1 = 0: No Attack is happening (FALSE)]

IDS inesperado, resultados de IPS son [BAD Result]

IDS, IPS no está diseñado para rastrear DOS resultados y considerar un resultado MALO y resultados inesperados/no deseados, lo cual es un desperdicio de recursos y peligroso para cualquier organización lograrlo.

FALSO POSITIVO [0=1]: El software/dispositivo IDS, IPS predice el tráfico de red como «tráfico malicioso {1)» y el valor resultante del análisis posterior es FALSO (0), lo que significa que es tráfico normal pero se detecta como ataque. IDS, IPS generan alerta de falso ataque.

Resumen: Llega el tráfico malicioso previsto (1), y después del análisis resultó FALSO (0) La fórmula es [0 = 1: Attack is not happening (FALSE) but detects as Attack]

Impacto: es una pérdida de tiempo y recursos ya que el equipo SOC dedica tiempo a investigar eventos no maliciosos.

FALSO NEGATIVO [0=0]: El software/dispositivo IDS, IPS predice el tráfico de red como «Tráfico normal {0)» y el valor del resultado del análisis posterior es FALSO (0) – IDS, IPS no genera ninguna alerta.

Resumen: Llega el tráfico normal previsto (0), y después del análisis resultó FALSO (0) La fórmula es [0 = 0: Attack is happening but does not detect as Attack]

Impacto: es sin duda el peor de los casos/escenario peligroso en el que IDS e IPS en realidad no lograron prevenir ni detectar tráfico/ataque malicioso real.

Con suerte, IDS e IPS detectan tráfico malicioso y generan alertas, es decir, el concepto Marte Positivo, Verdadero Negativo, Falso Positivo, Falso Negativo es claro para todos.

gracias por estar con Blog tecnológico de HyperHCI a estar atentos y seguir aprendiendo hasta el último suspiro.!

Relacionado