Sto lavorando su un IDS che ha portato fondamentalmente all'analisi del registro. Devo rilevare un intruso se ci sono anomalie di comportamento degli utenti presenti nei log. Sto riscontrando problemi relativi all'impostazione delle regole per l'elaborazione dei registri. Quindi qualcuno con qualche suggerimento su Come impostare le regole?
Come per la mia risposta sul tuo altro post - dai un'occhiata al materiale di rilevamento delle anomalie nei forum Snort. Ci sono molti aspetti che devi considerare, quindi prova a costruire sul lavoro che hanno già fatto.
Dovrai capire il "buon traffico" per la tua rete durante la fase di "ottimizzazione iniziale", utilizzare le whitelist e le blacklist delle firme e quindi creare un'analisi euristica se vuoi avvisarti di una deviazione dalla norma.
Questo è molto dispendioso in termini di risorse e complesso da mantenere, motivo per cui molte aziende ora esternalizzano l'intero pezzo ai grandi fornitori di servizi gestiti.