Rilevazione anomalie rete o rilevamento intrusioni basato su anomalie?

0

Quando si implementa un sistema di rilevamento delle intrusioni basato sull'anomalia, se voglio eliminare gli attacchi U2R e R2L (per evitare l'ispezione dei pacchetti profondi) e considerare solo gli attacchi Probe e DoS, quali caratteristiche dovrei prendere in considerazione? Dovrei considerare i documenti di anomalia della rete o i documenti basati su intrusioni?

Come ho appreso, ci sono documenti che prendono in considerazione il rilevamento di anomalie della rete (interruzione dei collegamenti, trasferimenti di file di grandi dimensioni, ... così come DoS, attacchi Probe) e ci sono documenti che prendono in considerazione il rilevamento di intrusioni (DoS, Probe, U2R e R2L attacchi).

Gli ex giornali sono il caso speciale di questi ultimi? Voglio dire, lo spazio delle funzioni utilizzato per loro è un sottoinsieme di quest'ultimo?

    
posta Yasser 21.11.2012 - 14:43
fonte

1 risposta

2

Prima risposta, per favore non fiamma: -)

Se capisco correttamente la tua domanda allora sì, potresti pensare agli attacchi come a un sottoinsieme di anomalie. In alcuni casi questo è utile, ma non terribilmente. Se, ad esempio, hai un segmento di rete molto silenzioso che non vede mai traffico e all'improvviso ti viene sbattuto. Il cambio di traffico è un'anomalia che potrebbe essere un DoS intenzionale, o forse hai appena messo il tuo sito web su search-engine-x e finalmente ha avuto un po 'di traffico. La realtà della situazione è contestuale, uno dei motivi per cui l'ottimizzazione dei firewall / IP / id / etc è così importante. Sarebbe il mio consiglio guardare entrambi in modo indipendente e considerarli anche in modo olistico. Sintonizzare, regolare, perfezionare.

Da un punto di vista dell'analisi si potrebbe anche affermare che gli attacchi coerenti, cioè lo standard, che improvvisamente scompaiono, solleverebbero anche una bandiera rossa. Posit: la tua rete ha ottenuto sonde di basso livello da un intervallo IP specifico per un mese consecutivo. Questi tipi di scansioni fastidiose sono spesso trascurati, ma oggi, senza motivo che tu possa dire, si fermano. Questa è un'anomalia per gli schemi del traffico di rete, ma è una cosa buona o cattiva?

Per quanto riguarda l'ultima parte; attività di rete maligne (DoS, Probes) e rilevamento delle intrusioni (guardando le attività di u2r / r2l / etc) sono due diverse classi di analisi del rilevamento.

C'è un articolo decente su questo link anche se è un po 'datato, penso che sia ancora saliente la tua domanda.

    
risposta data 21.11.2012 - 17:22
fonte

Leggi altre domande sui tag