Primo approccio al rilevamento degli attacchi DoS : esistono tecniche per il rilevamento delle intrusioni e, naturalmente, attacco DoS, in cui per ogni pacchetto (o flusso) vengono calcolate alcune caratteristiche, quindi basate su un algoritmo di classificazione , è determinato se questo flusso è anomalo o meno. In questo modo il flusso specifico è contrassegnato come anomalo.
Secondo approccio : per l'attacco DoS, esiste questa tecnica in cui il traffico di rete viene aggregato in base ad alcune caratteristiche (ad esempio il flag SYN) e quindi utilizzando l'elaborazione del segnale o altre tecniche come la soglia semplice, scoprire se c'è qualche anomalia in questa fascia oraria o meno. Tuttavia, in questo modo non possiamo determinare quale flusso è anomalo. Esistono tecniche che elaborano ulteriormente tale fascia oraria, per trovare flussi anomali o se l'anomalia è DoS (magari implementando il primo approccio per questo specifico intervallo di tempo).
Il primo approccio non è implementato in Snort, come ho chiesto in precedenza qui . Non so se i prodotti commerciali utilizzano questo approccio o no.
Ho capito bene le tendenze? Perché il secondo approccio è interessante, se il primo approccio funziona (o è semplicemente perché il primo approccio non funziona?). Per limitare lo spazio di ricerca a un intervallo di tempo specifico? C'è qualche deferenza qui tra IDS / Firewall? Ci sono altri approcci?