Difference between revisions of "NIDS"
(One intermediate revision by the same user not shown) | |||
Line 21: | Line 21: | ||
Използва pattern recognition. | Използва pattern recognition. | ||
+ | |||
+ | Misuse detection systems, for example, IDIOT [Kumar | ||
+ | and Spafford 1995] and STAT [Ilgun et al. 1995], use patterns of well- | ||
+ | known attacks or weak spots of the system to match and identify known | ||
+ | intrusions. For example, a signature rule for the “guessing password | ||
+ | attack” can be “there are more than four failed login attempts within two | ||
+ | minutes.” Misuse detection techniques in general are not effective against | ||
+ | novel attacks that have no matched rules or patterns yet. | ||
== Отличителни белези == | == Отличителни белези == | ||
Line 33: | Line 41: | ||
***packets per second per protocol | ***packets per second per protocol | ||
+ | Примерно : | ||
+ | W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets | ||
+ | [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.] | ||
*От високо ниво | *От високо ниво | ||
***Анализ на данните | ***Анализ на данните | ||
+ | |||
+ | . | ||
[[Category:netThesis]] | [[Category:netThesis]] |
Latest revision as of 13:21, 11 April 2013
Contents
Методи за откриване на нарушители
Два основни метода за откриване на нарушители[1]:
- базирани на аномалии
- базирани на модели на нарушения
базирани на аномалии
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:
- статистика - statistic,
- машинно обучение machine learning,
- извличане на знание от данни - data mining
Модел на нормалния трафик се построява по определени параметри:
- брой изградени връзки
- брой пакети в различните протоколи
- ...
модели на нарушения
Използва pattern recognition.
Misuse detection systems, for example, IDIOT [Kumar and Spafford 1995] and STAT [Ilgun et al. 1995], use patterns of well- known attacks or weak spots of the system to match and identify known intrusions. For example, a signature rule for the “guessing password attack” can be “there are more than four failed login attempts within two minutes.” Misuse detection techniques in general are not effective against novel attacks that have no matched rules or patterns yet.
Отличителни белези
- От ниско ниво - необработен трафик
- IP headers
- Аddress
- протокол
- byte per packet
- packet payload
- packets per protocol
- packets per second per protocol
- IP headers
Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]
- От високо ниво
- Анализ на данните
.