NIDS
Contents
Методи за откриване на нарушители
Два основни метода за откриване на нарушители[1]:
- базирани на аномалии
- базирани на модели на нарушения
базирани на аномалии
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:
- статистика - statistic,
- машинно обучение machine learning,
- извличане на знание от данни - data mining
Модел на нормалния трафик се построява по определени параметри:
- брой изградени връзки
- брой пакети в различните протоколи
- ...
модели на нарушения
Използва pattern recognition.
Misuse detection systems, for example, IDIOT [Kumar and Spafford 1995] and STAT [Ilgun et al. 1995], use patterns of well- known attacks or weak spots of the system to match and identify known intrusions. For example, a signature rule for the “guessing password attack” can be “there are more than four failed login attempts within two minutes.” Misuse detection techniques in general are not effective against novel attacks that have no matched rules or patterns yet.
Отличителни белези
- От ниско ниво - необработен трафик
- IP headers
- Аddress
- протокол
- byte per packet
- packet payload
- packets per protocol
- packets per second per protocol
- IP headers
Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]
- От високо ниво
- Анализ на данните
.