Perché gli schemi di rilevamento delle intrusioni basati sull'anomalia non sono implementati in Snort?

Naviga le tue risposte
1

Ho letto molti articoli sul rilevamento delle intrusioni di rete basato sull'anomalia. Sono sicuro che ognuna delle sue tecniche potrebbe essere implementata come preprocessore Snort? Se questo è vero, perché attualmente non ci sono preprocessori per il rilevamento di anomalie disponibili per Snort, nonostante il fatto che ci siano molti articoli su questo argomento?

SPADE non è più incluso in snort come ho imparato. Il PHAD, di Bernhard Guillon, dovrebbe essere patchato, non ufficiale. AnomalyDetection è ovviamente disponibile.

Gli algoritmi di rilevamento delle anomalie sono praticamente inutili?

    
posta Yasser 12.11.2012 - 12:35
fonte

1 risposta

2

Ci sono due ragioni:

  • Innanzitutto, il rilevamento delle intrusioni di rete basato sull'anomalia è più difficile da tradurre dalla ricerca alla pratica di quanto potrebbe sembrare a prima vista. Tende a generare molti falsi allarmi.

  • In secondo luogo, quelli sono documenti di ricerca. I ricercatori costruiscono spesso un prototipo di ricerca che è abbastanza buono per testare l'idea (come una prova di concetto). C'è una grande quantità di lavoro aggiuntivo per costruire qualcosa di praticamente dispiegabile, quindi solo una piccola parte dei documenti di ricerca arriva così lontano. Questo è vero in quasi tutte le ricerche di informatica - non solo nella rilevazione di intrusioni basata sull'anomalia.

Per la tua domanda sul fatto che il rilevamento di anomalie sia praticamente inutile, consulta Reti neurali e amp; rilevamento anomalie su questo sito. (La barra di ricerca è tua amica, provala!)

    
risposta data 13.11.2012 - 00:59
fonte

Leggi altre domande sui tag

Come vengono distribuite le CA radice per SSL? Qual è il modo più standard per proteggere le connessioni Internet e proteggere la privacy?