La maggior parte dei sistemi di rilevamento delle intrusioni che conosco è per la comunicazione IP. Ma, supponiamo di avere una comunicazione seriale, cioè CAN o RS485. Su questa comunicazione seriale ci sono protocolli personalizzati che comunicano, in modo tale che l'analisi del traffico può essere piuttosto statica.
Qualcuno sa di un IDS che è possibile personalizzare per questo scopo?
Non deve essere un prodotto finito, solo un riferimento a una carta o un documento sarebbe bello.
Dopo alcune ricerche abbiamo trovato diverse soluzioni interessanti, ecco tre documenti che ho trovato più pertinenti:
Anagram: un rilevatore di anomalie del contenuto resistente agli attacchi di mimetismo di Wang et al. Costruiscono un rilevatore di anomalie del contenuto chiamato Anagram. Gli anagrammi funzionano analizzando sequenze di byte utilizzando n-gram distinti per apprendere le firme stesse di pacchetti validi. Secondo gli autori ha un'alta accuratezza e bassi tassi di falsi positivi. Inoltre, può funzionare ad alta velocità rendendolo utile per il rilevamento delle intrusioni di rete. Dal momento che è basato sull'anomalia, ha una maggiore possibilità di rilevare exploit zero-day. E, poiché è auto-apprendimento, non richiede molta attenzione da parte del supervisore.
Un altro documento interessante è Rilevamento delle intrusioni della rete basato sul payload anomalo di Wang et al. È anche completamente automatico e può essere eseguito senza supervisione. Come con altri IDS basati su Anomaly, hanno una fase di addestramento in cui il sistema impara la frequenza e la deviazione standard del carico utile. Questa soluzione ha anche un alto tasso di rilevamento, vicino al 100%, e un tasso di falsi positivi molto basso.
Anche il documento trovato in questa risposta link è stato utile.
Nessuna delle soluzioni sopra indicate riguarda la comunicazione seriale. Tuttavia, operando su comunicazioni a livello di byte, riteniamo che una soluzione simile possa essere applicata, ad esempio: RS485 o CAN.
Leggi altre domande sui tag ids