Un Anomaly Based Intrusion Detection System è una tipologia di Intrusion detection system che rileva violazioni alla sicurezza informatica attraverso un'analisi del sistema e un'identificazione e classificazione delle anomalie. Le anomalie possono essere rilevate tramite un'analisi comportamentale del traffico osservato in precedenze (euristica), contrariamente a quanto accade nei sistemi signature based dove la ricerca viene fatta tramite regole, tramite la ricerca di pattern o di firme caratteristiche delle violazioni di sicurezza. I sistemi ADS sono un miglioramento dei sistemi basati sull'individuazione delle violazioni tramite regole.

Per poter individuare un'anomalia il sistema deve conoscere il comportamento normale del sistema analizzato; per far ciò possono essere utilizzati approcci differenti:

• sistemi derivati dall'intelligenza artificiale come le reti neurali che vengono addestrate a classificare il traffico di rete come normale o sospetto
• tramite l'utilizzo di un modello matematico che rappresenti il comportamento atteso del sistema. Studiando le deviazioni dal modello l'Anomaly Based

Intrusion Detection System è in grado di individuare le anomalie e di segnalarle.

Il problema più grosso dei sistemi ADS è l'addestramento. Sono possibili due approcci:

• addestramento continuo: il sistema si addestra non appena parte e utilizza i nuovi dati che riceve per rimodellare la sua conoscenza. Il vantaggio di questo approccio è che il sistema può "assorbire" eventuali modifiche nel profilo. Per esempio se aumentano gli utenti di una rete il sistema solleverà un allarme, fino al momento in cui capisce che il nuovo schema è diventato il traffico regolare. Lo svantaggio di questo approccio è che se la durata dell'attacco è pari all'inerzia del sistema un attaccante può essere in grado di addestrare il sistema dall'esterno.
• addestramento preventivo: il sistema viene addestrato con quello che viene ritenuto del traffico corretto. Qualunque tipo di analisi viene effettuata come un discostamento da questo traffico (modello). Questo approccio ha lo svantaggio di richiedere che venga identificato un certo tipo di traffico che è certamente privo di attacchi. Ha il vantaggio che un attaccante non può riaddestrare il sistema dall'esterno.

Infine, rispetto ad un IDS un anomaly detection ha il vantaggio che non deve essere aggiornato il suo database (come avviene anche per gli antivirus).

• Signature based intrusion detection system
• Intrusion detection system

• (EN) Un modello rigoroso per la rilevazione delle anomalie, su phrack.org (archiviato dall'url originale il 16 febbraio 2005).

Portale Sicurezza informatica: accedi alle voci di Teknopedia che trattano di Sicurezza informatica