rilevamento anomalie: problema di calcolo delle caratteristiche [chiuso]

-3

Ho una domanda su come calcolare le funzioni selezionate in [1]. Presuppone che l'impatto dell'attacco DoS sulle caratteristiche sia nSrcs=nDsts=1, nPkts/sec>a, nSYN/Pkts>b, ... (Tabella 1 di [1])

Numero di fonti ( nSrcs ) e numero di destinazione ( nDsts ) e altre caratteristiche vengono calcolate per ciascun flusso aggregato in base all'IP di destinazione ( IPdst ) in questo caso, in un intervallo di tempo. (Sezione 5.1 di [1])

Ma come è possibile per un server web che riceve molti flussi da fonti diverse ( nSrcs>1 ) per corrispondere con i criteri DoS citati. Forse non capisco cosa significhi aggregazione qui.

Riferimento: [1] Pedro Casas, Johan Mazel, Philippe Owezarski, Sistemi di rilevamento delle intrusioni di rete non sorvegliati: rilevamento dello sconosciuto senza conoscenza , Computer Communications, 2012.

Modifica: disponibile all'indirizzo qui . (Questo manoscritto differisce leggermente da quello pubblicato)

Modifica: ho chiesto all'autore e ho risposto in questo modo:

"Everything is wrong with your reasonning as you consider basic traffic figures and not statistical figures. First, you need to learn about what an anomaly or a DoS attack is. Then, you have to learn about traffic statistics in the Internet... There are many papers on this written during the two last decades. Read them first."

quali sono le cifre statistiche del traffico di rete?

    
posta Yasser 21.11.2012 - 11:12
fonte

2 risposte

2

Se ti stai chiedendo: "Per quanto riguarda il monitoraggio IDS, quali sono le" statistiche sul traffico "e dove posso informarle? (white paper ecc.)" ... quindi penso che la risposta che cerchi sia nel white paper stesso. E c'è un'immagine che illustra questo concetto nella parte superiore di pagina 3.

2. Related Work & Contributions

/Snip...

The problem of network anomaly detection has been extensively studied during the last decade. Most approaches analyze statistical variations of traffic volume descriptors (e.g., no. of packets, bytes, or new flows) and/or par- ticular traffic features (e.g., distribution of IP addresses and ports), using either single link measurements or net- work wide data. A non-exhaustive list of standard meth- ods includes the use of signal processing techniques (e.g., ARIMA modeling, wavelets-based filtering) on single-link traffic measurements [9], Kalman filters [12] for network- wide anomaly detection, and Sketches applied to IP-flows [14, 15].

[9] P. Barford, J. Kline, D. Plonka, and A. Ron, “A Signal Analysis of Network Traffic Anomalies”, in Proc. ACM IMW, 2002.

[12] A. Soule, K. Salamatian, and N. Taft, “Combining Filtering and Statistical Methods for Anomaly Detection”, in Proc. ACM IMC, 2005.

[14] B. Krishnamurthy, S. Sen, Y. Zhang, and Y. Chen, “Sketch- based Change Detection: Methods, Evaluation, and Applica- tions”, in Proc. ACM IMC, 2003.

[15] G. Dewaele, K. Fukuda, P. Borgnat, P. Abry, and K. Cho, “Ex- tracting Hidden Anomalies using Sketch and non Gaussian Multi- resolution Statistical Detection Procedures”, in Proc. LSAD, 2007.

Se trovi dei link per uno di quei white paper, aggiungili gentilmente come commento a questa risposta; Sarei curioso di leggerli.

    
risposta data 22.11.2012 - 16:11
fonte
1

Nella tabella 1 del documento, gli autori descrivono le caratteristiche dei diversi tipi di attacchi. Alcuni di loro hanno nSrcs = 1, altri no. Nello specifico, ciò che classificano come attacco DOS ha NSrcs = 1.

Chiedi "ma cosa succede se ci sono due fonti?". Bene, allora hai ciò che classificano come DDOS, dove la definizione include nSrcs > 1.

Ora, nella sicurezza delle informazioni pratiche non usiamo quelle definizioni esatte (consideriamo DDOS come un sottoinsieme di DOS e per avere più attributi di solo nSrcs > 1), che forse spiega la tua confusione, ma se hanno bisogno di classificare gli attacchi in questo modo per la loro carta, quindi abbastanza equo.

Le classificazioni pratiche di qualsiasi cosa sono, inevitabilmente, probabilmente un po 'sdolcinate ai bordi, e necessitano di un rafforzamento se stai per fare un po' di matematica con loro.

    
risposta data 22.11.2012 - 16:22
fonte

Leggi altre domande sui tag