Ho un IDS (Intrusion Detection System) integrato in C e ho bisogno di testarlo con traffico reale. È un sistema di rilevamento delle anomalie, quindi ho bisogno di addestrarlo con il traffico normale.
L'IDS che ho creato si chiama MAIS-IDS ed è stato originariamente testato contro il set di dati KDD NSL. Questo ID è tratto dall'articolo "MAIS-IDS: un sistema di rilevamento delle intrusioni distribuito che utilizza un approccio AIS multi-agente".
La prima cosa che devo fare è convertire i dati tcpdump nel set di dati NSL KDD 99 in modo da poter analizzare il traffico in tempo reale. Nella mia ricerca ho visto che potevo usare tcpreplay , tshark , o un'altra opzione è scrivere il mio script. Mi piacerebbe sapere qual è il modo migliore per farlo.
Dopodiché userò il mio IDS insieme all'attacco del grafo costruito tramite il software mulval per ridurre i falsi positivi.
Per testare tutto ho intenzione di utilizzare Metasploit, che è un framework che potrei usare per scrivere script per attaccare la mia rete.
L'altra cosa che vorrei sapere è se questo software che userò sia il modo migliore per farlo. Ho perso la mia prima volta provando a preparare questo tipo di esperimento.