Rilevamento basato su anomalie DoS: approccio più semplice al di là della soglia semplice

Naviga le tue risposte
0

Come ho appreso, c'è questa tecnica in cui viene controllato il numero di byte / pacchetti / fotogrammi del traffico aggregato per vedere se si discostano da un comportamento normale. Quindi viene ricercata la fascia oraria di tale anomalia se esiste un attacco DoS all'interno e / o per i flussi che hanno causato il problema (analisi delle cause principali).

Puoi suggerire un documento che fa la prima parte, per rilevare l'anomalia (DoS, ..) controllando la sua deviazione dal comportamento normale.

So che la soglia semplice funzionerebbe, ma voglio conoscere il prossimo migliore approccio idiota per capire meglio me stesso e implementarlo prima di dirigermi verso il filtro wavelet e kalman!

    
posta Yasser 26.11.2012 - 14:03
fonte

1 risposta

1

Penserei che la prossima cosa migliore di una soglia semplice sarebbe avere alcuni reset più intelligenti nel conteggio delle soglie. Certamente cose come i pacchetti costantemente ripetitivi o privi di senso dovrebbero far scattare un avvertimento prima. Al di fuori di questo, molto dipende se sei preoccupato per DoS o DDoS. Non so che potresti fare molto meglio di una soglia ben definita per la DoS semplice. DDoS richiederebbe effettivamente il confronto del traffico normale con il traffico corrente e la ricerca di differenze nei modelli che si adattano. Questo è troppo complicato per una risposta qui molto velocemente, anche se cercare informazioni come il filtro Baysian potrebbe essere un'altra possibilità oltre al filtro wavelet e al kalman che hai menzionato.

    
risposta data 26.11.2012 - 22:57
fonte

Leggi altre domande sui tag

Problemi di sicurezza per implementare un desktop remoto basato sul web Attacco certificato X.509 (piccola chiave privata sha1)