Implementazione di un IDS

Se stai leggendo articoli accademici, è probabile che tu stia leggendo su caratteristiche esoteriche, problemi distribuiti e problemi OPEN altrimenti interessanti nella battaglia in corso di IDS.

Se stai cercando (a) carta / e specifica / e, ti suggerisco di cercare un RILIEVO dei sistemi esistenti. Di solito i sondaggi forniscono alcune revisioni storiche con enfasi sullo stato attuale dell'arte. Di solito sono facili da leggere e leggere su analisi hard-core. Ho cercato su Google "un sondaggio sui sistemi di rilevamento delle intrusioni" e ho ottenuto così tanti risultati validi che non mi preoccuperei nemmeno di collegarli a nessuno di essi. Puoi provare a concentrarti esclusivamente sul mondo accademico colpendo i principali siti di ricerca CS accademici come CiteSeerX .

Poiché si tratta di un progetto a termine, la natura del sistema deve essere scalabile. Non cercare di fare il massimo - forse prova a creare un IDS basato su host invece di cercare di affrontare problemi altrimenti più difficili. Potresti anche concentrarti su qualcosa di semplice come un approccio basato sulla firma piuttosto che su un approccio euristico. Ricorda: il problema principale che stai cercando di risolvere è quello di Intrusion Detection, piuttosto che, ad esempio, i sistemi distribuiti.

Ovviamente se ti ritrovi con più tempo a disposizione alla fine, poi aumenta. Lo sviluppo del software è un processo evolutivo. Inizia con qualcosa di semplice e costruisci.

Per uno sguardo interessante su un ID di "ricerca", potresti anche consultare Bro . Il sito ha anche un sacco di documentazione interessante e link a documenti e argomenti di ricerca.

I forum Snort sarebbero un posto eccellente per ottenere informazioni. Sono focalizzati sul motore snort, ma gran parte della discussione che non riguarda la configurazione dello snort dovrebbe essere applicabile a molte implementazioni IDS.