Etäverkkohyökkäys on informaatiota tuhoava vaikutus hajautettuun laskentajärjestelmään (CS), joka suoritetaan ohjelmallisesti viestintäkanavien kautta.
Viestinnän järjestämiseen heterogeenisessa verkkoympäristössä käytetään joukkoa TCP / IP-protokollia , jotka varmistavat yhteensopivuuden erityyppisten tietokoneiden välillä. Tämä protokollasarja on saavuttanut suosiota yhteentoimivuuden ja maailmanlaajuisen Internetin resurssien käytön ansiosta, ja siitä on tullut verkkotyöskentelyn standardi. TCP/IP-protokollapinon yleisyys on kuitenkin paljastanut myös sen heikkoudet. Erityisesti tämän vuoksi hajautetut järjestelmät ovat herkkiä etähyökkäyksille, koska niiden komponentit käyttävät yleensä avoimia tiedonsiirtokanavia ja tunkeilija ei voi vain passiivisesti kuunnella lähetettyä tietoa, vaan myös muokata lähetettyä liikennettä .
Etähyökkäyksen havaitsemisen vaikeus ja sen suorittamisen suhteellinen helppous (nykyaikaisten järjestelmien liiallisesta toimivuudesta johtuen) nostaa tämäntyyppiset laittomat toimet ensimmäiselle sijalle vaaran asteen kannalta ja estää oikea-aikaisen reagoinnin toteutettuun hyökkäykseen. uhka, jonka seurauksena hyökkääjällä on lisääntynyt mahdollisuus onnistuneeseen hyökkäykseen.
Passiivinen vaikutus hajautettuun laskentajärjestelmään (DCS) on eräänlainen vaikutus, joka ei suoraan vaikuta järjestelmän toimintaan, mutta voi samalla rikkoa sen tietoturvapolitiikkaa . Suoran vaikutuksen puuttuminen RCS:n toimintaan johtaa juuri siihen, että passiivista etäiskua (PUV) on vaikea havaita. Mahdollinen esimerkki tyypillisestä PUV:sta WAN-verkossa on viestintäkanavan kuunteleminen verkossa.
Aktiivinen vaikutus RCS:ään on vaikutus, jolla on suora vaikutus itse järjestelmän toimintaan (suorituskyvyn häiriöt, muutokset RCS:n kokoonpanossa jne.), joka rikkoo siinä hyväksyttyä tietoturvapolitiikkaa. Aktiiviset vaikutteet ovat lähes kaiken tyyppisiä etähyökkäyksiä. Tämä johtuu siitä, että vahingollisen vaikutuksen luonteeseen sisältyy aktiivinen ainesosa. Ilmeinen ero aktiivisen ja passiivisen vaikutuksen välillä on sen havaitsemisen perustavanlaatuinen mahdollisuus, koska sen toteuttamisen seurauksena järjestelmässä tapahtuu joitain muutoksia. Passiivisella vaikutuksella ei jää yhtään jälkiä (johtuen siitä, että hyökkääjä katsoo jonkun toisen viestin järjestelmässä, mikään ei itse asiassa muutu samalla hetkellä).
Tämä ominaisuus, jonka mukaan luokitus tehdään, on itse asiassa suora heijastus kolmesta uhkien peruslajikkeesta - palvelunesto , paljastaminen ja eheysrikkomukset.
Lähes kaikkien hyökkäysten päätavoite on saada luvaton pääsy tietoihin. Tietojen hankkimiseen on kaksi perusvaihtoehtoa: vääristyminen ja sieppaus. Mahdollisuus siepata tietoa tarkoittaa pääsyä niihin ilman mahdollisuutta muuttaa sitä. Tietojen sieppaus johtaa siis sen luottamuksellisuuden loukkaamiseen . Verkossa olevan kanavan kuunteleminen on esimerkki tiedon sieppauksesta. Tässä tapauksessa on olemassa laiton pääsy tietoihin ilman mahdollisia vaihtoehtoja sen korvaamiseksi. Tiedon luottamuksellisuuden loukkaaminen viittaa luonnollisesti passiivisiin vaikutuksiin.
Tietojen korvaamisen mahdollisuus tulisi ymmärtää joko täydellisenä hallinnana järjestelmäobjektien väliseen tiedonkulkuun tai mahdollisuutena lähettää erilaisia viestejä jonkun muun puolesta. Siksi on selvää, että tietojen korvaaminen johtaa sen eheyden loukkaamiseen . Tällainen tietoa tuhoava vaikutus on tyypillinen esimerkki aktiivisesta vaikuttamisesta. Esimerkki etähyökkäyksestä, joka on suunniteltu loukkaamaan tiedon eheyttä, voi toimia etähyökkäyksenä (UA) "Väärä RCS-objekti".
Hyökkääjä lähettää pyyntöjä hyökätylle objektille, joihin hän odottaa saavansa vastauksen. Tämän seurauksena hyökkääjän ja hyökkääjän välille syntyy palaute, jonka avulla ensimmäinen voi reagoida asianmukaisesti kaikenlaisiin muutoksiin hyökkääjän kohteessa. Tämä on etähyökkäyksen ydin, joka suoritetaan hyökkäävän kohteen palautteen läsnä ollessa. Tällaiset hyökkäykset ovat tyypillisimpiä RVS:lle.
Avoimen silmukan hyökkäyksille on ominaista se, että niiden ei tarvitse vastata hyökkäyksen kohteena olevan kohteen muutoksiin. Tällaiset hyökkäykset suoritetaan yleensä lähettämällä yksittäisiä pyyntöjä hyökkäyksen kohteena olevalle objektille. Hyökkääjä ei tarvitse vastauksia näihin pyyntöihin. Tällaista UA:ta voidaan kutsua myös yksisuuntaiseksi UA:ksi. Esimerkki yksisuuntaisista hyökkäyksistä on tyypillinen UA:n " DoS-hyökkäys ".
Etävaikutus, kuten mikä tahansa muu, voidaan aloittaa vain tietyissä olosuhteissa. RCS:ssä on kolmenlaisia tällaisia ehdollisia hyökkäyksiä:
Hyökkääjän vaikutus alkaa sillä ehdolla, että mahdollinen hyökkäyksen kohde lähettää tietyn tyyppisen pyynnön. Tällaista hyökkäystä voidaan kutsua hyökkäykseksi hyökkäyksen kohteena olevan kohteen pyynnöstä . Tämän tyyppinen UA on tyypillisin RVS:lle. Esimerkki tällaisista Internetin kyselyistä ovat DNS- ja ARP - kyselyt ja Novell NetWaressa - SAP-kysely .
Hyökkäys hyökkäyksen kohteena olevan kohteen odotetun tapahtuman sattuessa . Hyökkääjä tarkkailee jatkuvasti etähyökkäyskohteen käyttöjärjestelmän tilaa ja käynnistää vaikutuksen, kun tässä järjestelmässä tapahtuu tietty tapahtuma. Hyökkäyksen kohteena oleva kohde itse on hyökkäyksen alullepanija. Esimerkki tällaisesta tapahtumasta on käyttäjän istunnon päättäminen palvelimen kanssa antamatta LOGOUT-komentoa Novell NetWaressa.
Ehdoton hyökkäys suoritetaan välittömästi käyttöjärjestelmän ja hyökkäyksen kohteena olevan kohteen tilasta riippumatta. Siksi hyökkääjä on tässä tapauksessa hyökkäyksen alullepanija.
Jos järjestelmän normaalia toimintaa rikotaan, tavoitellaan muita tavoitteita, eikä hyökkääjän odoteta pääsevän laittomasti tietoihin. Sen tarkoituksena on poistaa käytöstä hyökätyn kohteen käyttöjärjestelmä ja estää järjestelmän muiden objektien pääsy tämän objektin resursseihin. Esimerkki tämäntyyppisestä hyökkäyksestä on UA " DoS-hyökkäys ".
Jotkut määritelmät:
Hyökkäyksen lähde (hyökkäyksen kohde) on ohjelma (mahdollisesti operaattori), joka suorittaa hyökkäyksen ja vaikuttaa suoraan.
Isäntä (isäntä) - tietokone, joka on osa verkkoa.
Reititin on laite, joka reitittää paketteja verkossa.
Aliverkko (aliverkko) on ryhmä isäntiä , jotka ovat osa maailmanlaajuista verkkoa , ja ne eroavat toisistaan siinä, että reititin on osoittanut niille saman aliverkkonumeron. Voit myös sanoa, että aliverkko on isäntien looginen ryhmittely reitittimen kautta. Saman aliverkon isännät voivat kommunikoida suoraan toistensa kanssa ilman reititintä .
Verkkosegmentti on fyysisen kerroksen isäntien yhdistelmä.
Etähyökkäyksen kannalta on äärimmäisen tärkeää kohteen ja hyökkäyksen kohteen suhteellinen sijainti, eli ovatko ne eri tai samoissa segmenteissä. Segmentin sisäisen hyökkäyksen aikana hyökkäyksen kohde ja kohde sijaitsevat samassa segmentissä. Segmenttien välisessä hyökkäyksessä hyökkäyksen kohde ja kohde sijaitsevat eri verkkosegmenteissä. Tämä luokitteluominaisuus mahdollistaa hyökkäyksen niin sanotun "etäisyyden asteen" arvioimisen.
Lisäksi osoitetaan, että käytännössä segmenttien sisäinen hyökkäys on paljon helpompi toteuttaa kuin segmenttien välinen hyökkäys. Huomaa myös, että segmenttien välinen etähyökkäys on paljon vaarallisempi kuin segmentin sisäinen hyökkäys. Tämä johtuu siitä, että segmenttien välisessä hyökkäyksessä sen kohde ja suoraan hyökkäävä voivat olla useiden tuhansien kilometrien etäisyydellä toisistaan, mikä voi merkittävästi haitata toimenpiteitä hyökkäyksen torjumiseksi.
International Organization for Standardization ( ISO ) on ottanut käyttöön ISO 7498 -standardin, joka kuvaa Open Systems Interconnection (OSI) -standardin, johon myös RCS kuuluu. Jokainen verkon vaihtoprotokolla , samoin kuin jokainen verkko-ohjelma, voidaan jollain tavalla projisoida referenssiseitsemän kerroksen OSI-malliin . Tällainen monitasoinen projektio mahdollistaa verkkoprotokollassa tai -ohjelmassa käytettyjen toimintojen kuvaamisen OSI-mallin avulla. UA on verkko-ohjelma, ja on loogista tarkastella sitä ISO/OSI-referenssimallin projisoinnin kannalta [2].
Kun IP - datapaketti lähetetään verkon yli, tämä paketti voidaan jakaa useisiin fragmentteihin. Myöhemmin, saapuessaan määränpäähän, paketti palautetaan näistä fragmenteista. Hyökkääjä voi aloittaa suuren määrän fragmenttien lähettämisen, mikä johtaa ohjelmapuskureiden ylivuotoon vastaanottavalla puolella ja joissakin tapauksissa järjestelmän kaatumiseen.
Tämä hyökkäys edellyttää, että hyökkääjä käyttää nopeita Internet -kanavia .
Ping-ohjelma lähettää ICMP ECHO REQUEST -paketin, jossa on kellonaika ja sen tunniste. Vastaanottavan koneen ydin vastaa tällaiseen pyyntöön ICMP ECHO REPLY -paketilla. Vastaanotettuaan sen ping antaa paketin nopeuden.
Normaalissa toimintatilassa paketteja lähetetään tietyin väliajoin, käytännössä ei lataa verkkoa . Mutta "aggressiivisessa" tilassa ICMP-kaikupyyntö-/vastauspakettien virta voi aiheuttaa ruuhkaa pienellä linjalla, mikä estää sen kyvyn lähettää hyödyllistä tietoa .
IP- paketti sisältää kentän, joka määrittää kapseloidun paketin protokollan ( TCP , UDP , ICMP ) . Hyökkääjät voivat käyttää tämän kentän epätyypillistä arvoa siirtääkseen tietoja, joita ei tallenneta tavallisilla tietovirran ohjaustyökaluilla.
Smurffihyökkäys koostuu ICMP - lähetyspyyntöjen lähettämisestä verkkoon uhrin tietokoneen puolesta. Tämän seurauksena tietokoneet, jotka ovat vastaanottaneet tällaisia lähetyspaketteja, reagoivat uhritietokoneeseen, mikä johtaa viestintäkanavan kaistanleveyden merkittävään pienenemiseen ja joissakin tapauksissa hyökätyn verkon täydelliseen eristämiseen. Smurffihyökkäys on poikkeuksellisen tehokas ja laajalle levinnyt.
Vastatoimenpiteet: tämän hyökkäyksen tunnistamiseksi on analysoitava kanavan kuormitus ja määritettävä suorituskyvyn laskun syyt.
Tämän hyökkäyksen seurauksena DNS-palvelimen välimuistissa oleva IP-osoitteen ja verkkotunnuksen välinen vastaavuus on otettu käyttöön. Tällaisen hyökkäyksen onnistuneen toteutuksen seurauksena kaikki DNS-palvelimen käyttäjät saavat virheellisiä tietoja verkkotunnuksista ja IP-osoitteista. Tälle hyökkäykselle on ominaista suuri määrä DNS-paketteja, joilla on sama verkkotunnus. Tämä johtuu tarpeesta valita joitain DNS-vaihtoparametreja.
Vastatoimi: tällaisen hyökkäyksen havaitsemiseksi on analysoitava DNS-liikenteen sisältö tai käytettävä DNSSEC :tä .
Suuri määrä Internetiin kohdistuvia hyökkäyksiä liittyy alkuperäisen IP-osoitteen korvaamiseen . Tällaisia hyökkäyksiä ovat mm. syslog-huijaus, joka koostuu viestin lähettämisestä uhritietokoneelle toisen sisäisessä verkossa olevan tietokoneen puolesta. Koska syslog -protokollaa käytetään järjestelmälokien ylläpitoon, voit lähettää vääriä viestejä uhrin tietokoneelle, jolloin voit pakottaa tietoja tai peitellä jälkeä luvatta.
Vastatoimenpiteet: IP-osoitteiden huijaushyökkäykset voidaan havaita valvomalla paketin vastaanottoa jollakin rajapinnalla , jossa on saman rajapinnan lähdeosoite, tai valvomalla sisäisen verkon IP-osoitteita sisältävien pakettien vastaanottoa ulkoisella rajapinnalla.
Hyökkääjä lähettää verkkoon paketteja väärällä palautusosoitteella. Tämän hyökkäyksen avulla hyökkääjä voi siirtyä muiden tietokoneiden välillä luomiinsa tietokoneyhteyksiinsä. Tässä tapauksessa hyökkääjän käyttöoikeudet tulevat samat kuin sen käyttäjän oikeudet, jonka yhteys palvelimeen on vaihdettu hyökkääjän tietokoneeseen.
Mahdollista vain paikallisverkon segmentissä .
Lähes kaikki verkkokortit tukevat kykyä siepata yhteisen LAN -kanavan kautta lähetettyjä paketteja . Tässä tapauksessa työasema voi vastaanottaa paketteja, jotka on osoitettu muille samassa verkkosegmentissä oleville tietokoneille. Siten koko tiedonvaihto verkkosegmentissä tulee hyökkääjän saataville. Hyökkäyksen toteuttaminen onnistuneesti edellyttää, että hyökkääjän tietokoneen on sijaittava samassa paikallisverkon segmentissä kuin hyökkäyksen kohteena oleva tietokone .
Reitittimen verkkoohjelmistolla on pääsy kaikkiin tämän reitittimen kautta lähetettyihin verkkopaketteihin, mikä mahdollistaa pakettien haistelemisen. Tämän hyökkäyksen toteuttamiseksi hyökkääjällä on oltava etuoikeutettu käyttöoikeus vähintään yhteen verkkoreitittimeen. Koska reitittimen kautta lähetetään yleensä paljon paketteja, niiden täydellinen sieppaus on lähes mahdotonta. Hyökkääjä voi kuitenkin siepata yksittäisiä paketteja ja tallentaa ne myöhempää analysointia varten. Tehokkain käyttäjien salasanoja sisältävien FTP -pakettien sekä sähköpostin sieppaus .
Internetissä on erityinen protokolla ICMP (Internet Control Message Protocol), jonka yksi tehtävistä on informoida isäntiä nykyisen reitittimen vaihtamisesta. Tätä ohjausviestiä kutsutaan uudelleenohjaukseksi. Mikä tahansa verkkosegmentin isäntä voi lähettää väärän uudelleenohjausviestin reitittimen puolesta hyökkäyksen kohteena olevalle isännälle. Tämän seurauksena isännän nykyinen reititystaulukko muuttuu ja tulevaisuudessa kaikki tämän isännän verkkoliikenne kulkee esimerkiksi väärän uudelleenohjausviestin lähettäneen isännän kautta. Siten on mahdollista aktiivisesti määrätä väärä reitti yhden Internet-segmentin sisällä.
Tavanomaisen TCP -yhteyden kautta lähetettävän tiedon lisäksi standardi mahdollistaa myös kiireellisten (Out Of Band) tiedon siirron. TCP-pakettimuotojen tasolla tämä ilmaistaan nollasta poikkeavana kiireellisenä osoittimena. Useimmissa tietokoneissa, joissa on Windows asennettuna, on NetBIOS -verkkoprotokolla , joka käyttää kolmea IP-porttia tarpeisiinsa : 137, 138, 139. Jos muodostat yhteyden Windows - koneeseen portissa 139 ja lähetät sinne muutaman tavun OutOfBand-tietoja, NetBIOS-toteutus tietämättä mitä tehdä näille tiedoille, yksinkertaisesti katkaisee puhelun tai käynnistää koneen uudelleen. Windows 95:ssä tämä näyttää yleensä siniseltä tekstinäytöltä, joka ilmoittaa virheestä TCP/IP - ohjaimessa ja kyvyttömyydestä toimia verkon kanssa ennen kuin käyttöjärjestelmä käynnistetään uudelleen. NT 4.0 ilman Service Pack -paketteja käynnistyy uudelleen, NT 4.0 ServicePack 2:lla kaatuu siniseen näyttöön. Verkosta saatujen tietojen perusteella sekä Windows NT 3.51 että Windows 3.11 for Workgroups ovat alttiita tällaiselle hyökkäykselle.
Tietojen lähettäminen porttiin 139 joko käynnistää NT 4.0:n uudelleen tai aiheuttaa sinisen kuoleman, kun Service Pack 2 on asennettu. Tietojen lähettäminen porttiin 135 ja joihinkin muihin portteihin kuormittaa merkittävästi RPCSS.EXE-prosessia. Windows NT WorkStationissa tämä johtaa merkittävään hidastumiseen, Windows NT Server on käytännössä jäätynyt.
Tämän tyyppisten etähyökkäysten onnistunut toteutus antaa hyökkääjälle mahdollisuuden suorittaa istunnon palvelimen kanssa luotettavan isännän puolesta. (Luotettu isäntä on asema, joka on muodostanut laillisen yhteyden palvelimeen). Tämäntyyppisen hyökkäyksen toteuttaminen koostuu yleensä vaihtopakettien lähettämisestä hyökkääjän asemalta hänen hallinnassaan olevan luotetun aseman puolesta.
Verkko- ja tietotekniikat muuttuvat niin nopeasti, että staattiset turvamekanismit, joihin kuuluvat kulunvalvontajärjestelmät, ME, todennusjärjestelmät, eivät monissa tapauksissa pysty tarjoamaan tehokasta suojaa. Siksi tarvitaan dynaamisia menetelmiä tietoturvaloukkausten nopeaan havaitsemiseen ja estämiseen. Yksi tekniikka, joka voi havaita rikkomukset, joita ei voida tunnistaa perinteisillä kulunvalvontamalleilla, on tunkeutumisen havaitsemistekniikka.
Pohjimmiltaan tunkeutumisen havaitsemisprosessi on prosessi, jossa arvioidaan yritysverkossa tapahtuvia epäilyttäviä toimintoja. Toisin sanoen tunkeutumisen havaitseminen on prosessi, jossa tunnistetaan tietokone- tai verkkoresursseihin kohdistuva epäilyttävä toiminta ja reagoidaan siihen.
Tunkeutumisen havaitsemisjärjestelmän tehokkuus riippuu suurelta osin vastaanotetun tiedon analysoinnissa käytetyistä menetelmistä. Ensimmäiset 1980-luvun alussa kehitetyt tunkeutumisen havainnointijärjestelmät käyttivät tilastollisia tunkeutumisen havaitsemismenetelmiä. Tällä hetkellä tilastolliseen analyysiin on lisätty useita uusia menetelmiä alkaen asiantuntijajärjestelmistä ja sumeasta logiikasta ja päättyen hermoverkkojen käyttöön.
Tilastollisen lähestymistavan tärkeimmät edut ovat jo kehitetyn ja hyväksi havaitun matemaattisten tilastojen laitteiston käyttö ja mukautuminen kohteen käyttäytymiseen.
Ensin määritetään profiilit kaikille analysoitavan järjestelmän kohteille. Kaikki käytetyn profiilin poikkeamat viitteestä katsotaan luvattomaksi toiminnaksi. Tilastolliset menetelmät ovat yleismaailmallisia, koska analysointi ei vaadi tietoa mahdollisista hyökkäyksistä ja niiden hyödyntämistä haavoittuvuuksista. Näitä menetelmiä käytettäessä ilmenee kuitenkin ongelmia:
On myös otettava huomioon, että tilastollisia menetelmiä ei voida soveltaa tapauksissa, joissa käyttäjälle ei ole tyypillistä käyttäytymismallia tai kun luvattomat toimet ovat tyypillisiä käyttäjälle.
Asiantuntijajärjestelmät koostuvat joukosta sääntöjä, jotka kattavat ihmisasiantuntijan tiedon. Asiantuntijajärjestelmien käyttö on yleinen hyökkäysten havaitsemismenetelmä, jossa tieto hyökkäyksistä muotoillaan sääntöjen muodossa. Nämä säännöt voidaan kirjoittaa esimerkiksi toimintosarjaksi tai allekirjoitukseksi. Kun jokin näistä säännöistä täyttyy, tehdään päätös luvattoman toiminnan olemassaolosta. Tämän lähestymistavan tärkeä etu on väärien hälytysten lähes täydellinen puuttuminen.
Asiantuntijajärjestelmän tietokannan tulisi sisältää skenaariot suurimmalle osalle tällä hetkellä tunnetuista hyökkäyksistä. Asiantuntijajärjestelmät vaativat tietokannan jatkuvaa päivittämistä pysyäkseen jatkuvasti ajan tasalla. Vaikka asiantuntijajärjestelmät tarjoavatkin hyvän mahdollisuuden tarkastella lokien tietoja, tarvittavat päivitykset voidaan joko jättää huomiotta tai ylläpitäjä voi suorittaa ne manuaalisesti. Tämä johtaa vähintään asiantuntijajärjestelmään, jonka ominaisuudet ovat heikommat. Pahimmassa tapauksessa kunnollisen ylläpidon puute heikentää koko verkon turvallisuutta ja johtaa sen käyttäjiä harhaan todellisen turvallisuustason suhteen.
Suurin haittapuoli on kyvyttömyys torjua tuntemattomia hyökkäyksiä. Samalla pienikin muutos jo tunnetussa hyökkäyksessä voi muodostua vakavaksi esteeksi tunkeutumisen havainnointijärjestelmän toiminnalle.
Useimmat nykyaikaiset tunkeutumisen havaitsemismenetelmät käyttävät jonkinlaista sääntöpohjaista hallitun tilan analyysiä tai tilastollista lähestymistapaa. Ohjattu tila voi olla lokeja tai verkkoliikennettä. Analyysi perustuu ennalta määritettyihin sääntöihin, jotka järjestelmänvalvoja tai itse tunkeutumisen havaitsemisjärjestelmä on luonut.
Hyökkäyksen jakautuminen ajan kuluessa tai useiden hyökkääjien kesken on asiantuntijajärjestelmien vaikea havaita. Hyökkäysten ja hakkereiden suuren kirjon vuoksi edes erityiset jatkuvat asiantuntijajärjestelmän sääntötietokannan päivitykset eivät koskaan takaa koko hyökkäysvalikoiman tarkkaa tunnistamista.
Neuraaliverkkojen käyttö on yksi tapa ratkaista nämä asiantuntijajärjestelmien ongelmat. Toisin kuin asiantuntijajärjestelmät, jotka voivat antaa käyttäjälle varman vastauksen tarkasteltavana olevien ominaisuuksien yhteensopivuudesta tietokannassa asetettujen sääntöjen kanssa, hermoverkko analysoi tietoa ja tarjoaa mahdollisuuden arvioida, onko data johdonmukaista sen ominaisuuksien kanssa. on oppinut tunnistamaan. Vaikka hermoverkkoesityksen täsmäysaste voi olla 100%, valinnan luotettavuus riippuu täysin järjestelmän laadusta tehtävän esimerkkien analysoinnissa.
Ensin hermoverkko on koulutettu tunnistamaan oikein ennalta valitun verkkoalueen esimerkkinäytteen perusteella. Neuraaliverkon reaktio analysoidaan ja järjestelmää säädetään siten, että saavutetaan tyydyttävät tulokset. Alkuharjoittelujakson lisäksi hermoverkko kerää kokemusta ajan mittaan analysoidessaan toimialueeseen liittyvää dataa.
Hermoverkkojen tärkeä etu väärinkäytön havaitsemisessa on niiden kyky "oppia" tahallisten hyökkäysten ominaisuudet ja tunnistaa elementtejä, jotka eivät ole samanlaisia kuin verkossa aiemmin nähdyt.
Jokaisella kuvatuista menetelmistä on useita etuja ja haittoja, joten nyt on käytännössä vaikea löytää järjestelmää, joka toteuttaisi vain yhden kuvatuista menetelmistä. Tyypillisesti näitä menetelmiä käytetään yhdessä.