Mi è stato assegnato il compito di testare l'efficacia di OSSEC HIDS (per efficacia intendo il tasso di rilevamento che raggiunge e il tasso di falsi positivi) quando viene utilizzato un set di dati di tracce di chiamate di sistema non elaborate.
Il set di dati stesso è il set di dati AFDA-LD che può essere trovato qui link
Questo set di dati è composto da 3 gruppi di tracce di chiamate di sistema non elaborate generate con il programma UNIX audit:
- Dati di allenamento normali
- Dati di convalida normali
- Dati di attacco.
Il metodo utilizzato per eseguire questa attività è irrilevante fintanto che riesco a utilizzare questo particolare set di dati con OSSEC HIDS.
Finora ho installato l'ultima versione di OSSEC su Ubuntu 14.04. Suppongo che per svolgere il mio compito, OSSEC dovrebbe essere addestrato utilizzando i normali dati di addestramento del set di dati e quindi testato per i falsi positivi utilizzando i normali dati di convalida e per il rilevamento degli attacchi utilizzando i dati di attacco.
La mia domanda è: OSSEC può essere addestrato e testato con le prime tracce di chiamata di sistema, in primo luogo, e se sì, come? In caso contrario, i dati di questo specifico set di dati possono essere utilizzati in qualsiasi altro modo per testare l'efficacia di OSSEC?