Registrazione True / False Negatives su Snort

4

Sto usando Snort in un ambiente di laboratorio con traffico generato artificialmente.

Sto cercando di costruire una matrice di confusione dagli attacchi generati noti.

I veri positivi e i falsi positivi sono facili da analizzare dal file degli avvisi, ma sto cercando un modo per quantificare i veri / falsi negativi.

Questi sarebbero i casi in cui Snort avrebbe potuto essere avvisato, ma non lo fece.

Non sono sicuro di quanto strettamente correlato sia al numero di pacchetti, perché non sono sicuro che Snort potrebbe potenzialmente avvisare più volte per pacchetto.

Qualsiasi aiuto è apprezzato.

    
posta Evan 23.11.2011 - 03:04
fonte

1 risposta

3

La cosa chiave di cui hai bisogno è verità fondamentale . Hai bisogno di un modo a priori per sapere quali parti del traffico sono in realtà degli attacchi e quali no.

Una volta che hai la verità fondamentale, costruire la matrice di confusione è semplice. Per ogni attacco nel traffico, controlli se Snort ha rilevato l'attacco o meno (questo ti dà un conteggio di Veri Positivi e Falsi Negativi). Per ogni non-attacco nel traffico, controlli se Snort ha avvisato di un attacco o meno (questo ti dà un conteggio di falsi positivi e veri negativi). Ora metti quei quattro numeri nella tua matrice di confusione 2x2.

Se non hai la verità fondamentale, non puoi costruire la matrice di confusione.

Non c'è modo di usare Snort per esaminare i negativi in termini di avvisi.

    
risposta data 30.11.2011 - 07:28
fonte

Leggi altre domande sui tag