Difference between revisions of "NIDS"
(4 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
+ | ==Методи за откриване на нарушители== | ||
Два основни метода за откриване на нарушители[1]: | Два основни метода за откриване на нарушители[1]: | ||
*базирани на аномалии | *базирани на аномалии | ||
Line 9: | Line 10: | ||
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект: | Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект: | ||
*статистика - statistic, | *статистика - statistic, | ||
− | *[[ | + | *[[Изкуствени_невронни_мрежи#Обучение на невронни мрежи|машинно обучение]] machine learning, |
*извличане на знание от данни - data mining | *извличане на знание от данни - data mining | ||
Line 15: | Line 16: | ||
*брой изградени връзки | *брой изградени връзки | ||
*брой пакети в различните протоколи | *брой пакети в различните протоколи | ||
− | * ... | + | * ... |
− | == | + | === модели на нарушения === |
Използва pattern recognition. | Използва pattern recognition. | ||
+ | Misuse detection systems, for example, IDIOT [Kumar | ||
+ | and Spafford 1995] and STAT [Ilgun et al. 1995], use patterns of well- | ||
+ | known attacks or weak spots of the system to match and identify known | ||
+ | intrusions. For example, a signature rule for the “guessing password | ||
+ | attack” can be “there are more than four failed login attempts within two | ||
+ | minutes.” Misuse detection techniques in general are not effective against | ||
+ | novel attacks that have no matched rules or patterns yet. | ||
+ | |||
+ | == Отличителни белези == | ||
+ | |||
+ | *От ниско ниво - необработен трафик | ||
+ | **IP headers | ||
+ | ***Аddress | ||
+ | ***протокол | ||
+ | ***byte per packet | ||
+ | ***packet payload | ||
+ | ***packets per protocol | ||
+ | ***packets per second per protocol | ||
+ | |||
+ | Примерно : | ||
+ | W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets | ||
+ | [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.] | ||
+ | |||
+ | *От високо ниво | ||
+ | ***Анализ на данните | ||
+ | |||
+ | . | ||
[[Category:netThesis]] | [[Category:netThesis]] |
Latest revision as of 13:21, 11 April 2013
Contents
Методи за откриване на нарушители
Два основни метода за откриване на нарушители[1]:
- базирани на аномалии
- базирани на модели на нарушения
базирани на аномалии
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:
- статистика - statistic,
- машинно обучение machine learning,
- извличане на знание от данни - data mining
Модел на нормалния трафик се построява по определени параметри:
- брой изградени връзки
- брой пакети в различните протоколи
- ...
модели на нарушения
Използва pattern recognition.
Misuse detection systems, for example, IDIOT [Kumar and Spafford 1995] and STAT [Ilgun et al. 1995], use patterns of well- known attacks or weak spots of the system to match and identify known intrusions. For example, a signature rule for the “guessing password attack” can be “there are more than four failed login attempts within two minutes.” Misuse detection techniques in general are not effective against novel attacks that have no matched rules or patterns yet.
Отличителни белези
- От ниско ниво - необработен трафик
- IP headers
- Аddress
- протокол
- byte per packet
- packet payload
- packets per protocol
- packets per second per protocol
- IP headers
Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]
- От високо ниво
- Анализ на данните
.