Ho una domanda su come calcolare le funzioni selezionate in [1]. Presuppone che l'impatto dell'attacco DoS sulle caratteristiche sia nSrcs=nDsts=1, nPkts/sec>a, nSYN/Pkts>b, ...
(Tabella 1 di [1])
Numero di fonti ( nSrcs
) e numero di destinazione ( nDsts
) e altre caratteristiche vengono calcolate per ciascun flusso aggregato in base all'IP di destinazione ( IPdst
) in questo caso, in un intervallo di tempo. (Sezione 5.1 di [1])
Ma come è possibile per un server web che riceve molti flussi da fonti diverse ( nSrcs>1
) per corrispondere con i criteri DoS citati. Forse non capisco cosa significhi aggregazione qui.
Riferimento: [1] Pedro Casas, Johan Mazel, Philippe Owezarski, Sistemi di rilevamento delle intrusioni di rete non sorvegliati: rilevamento dello sconosciuto senza conoscenza , Computer Communications, 2012.
Modifica: disponibile all'indirizzo qui . (Questo manoscritto differisce leggermente da quello pubblicato)
Modifica: ho chiesto all'autore e ho risposto in questo modo:
"Everything is wrong with your reasonning as you consider basic traffic figures and not statistical figures. First, you need to learn about what an anomaly or a DoS attack is. Then, you have to learn about traffic statistics in the Internet... There are many papers on this written during the two last decades. Read them first."
quali sono le cifre statistiche del traffico di rete?