Difference between revisions of "NIDS"
From Ilianko
| Line 1: | Line 1: | ||
| + | ==Методи за откриване на нарушители== | ||
Два основни метода за откриване на нарушители[1]: | Два основни метода за откриване на нарушители[1]: | ||
*базирани на аномалии | *базирани на аномалии | ||
| Line 17: | Line 18: | ||
* ... | * ... | ||
| − | == | + | === модели на нарушения === |
Използва pattern recognition. | Използва pattern recognition. | ||
| + | == Отличителни белези == | ||
| + | |||
| + | *От ниско ниво - необработен трафик | ||
| + | **IP headers | ||
| + | ***Аddress | ||
| + | ***протокол | ||
| + | ***byte per packet | ||
| + | ***packet payload | ||
| + | ***packets per protocol | ||
| + | ***packets per second per protocol | ||
| + | |||
| + | |||
| + | *От високо ниво | ||
| + | ***Анализ на данните | ||
[[Category:netThesis]] | [[Category:netThesis]] | ||
Revision as of 06:57, 10 April 2013
Contents
Методи за откриване на нарушители
Два основни метода за откриване на нарушители[1]:
- базирани на аномалии
- базирани на модели на нарушения
базирани на аномалии
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:
- статистика - statistic,
- машинно обучение machine learning,
- извличане на знание от данни - data mining
Модел на нормалния трафик се построява по определени параметри:
- брой изградени връзки
- брой пакети в различните протоколи
- ...
модели на нарушения
Използва pattern recognition.
Отличителни белези
- От ниско ниво - необработен трафик
- IP headers
- Аddress
- протокол
- byte per packet
- packet payload
- packets per protocol
- packets per second per protocol
- IP headers
- От високо ниво
- Анализ на данните
