Difference between revisions of "NIDS"

From Ilianko
Line 33: Line 33:
 
***packets per second per protocol
 
***packets per second per protocol
  
 +
Примерно :
 +
W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets
 +
[J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]
  
 
*От високо ниво  
 
*От високо ниво  
 
***Анализ на данните
 
***Анализ на данните
 +
 +
.
  
 
[[Category:netThesis]]
 
[[Category:netThesis]]

Revision as of 07:21, 10 April 2013

Методи за откриване на нарушители

Два основни метода за откриване на нарушители[1]:

  • базирани на аномалии
  • базирани на модели на нарушения


базирани на аномалии

Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:

Модел на нормалния трафик се построява по определени параметри:

  • брой изградени връзки
  • брой пакети в различните протоколи
  • ...

модели на нарушения

Използва pattern recognition.

Отличителни белези

  • От ниско ниво - необработен трафик
    • IP headers
      • Аddress
      • протокол
      • byte per packet
      • packet payload
      • packets per protocol
      • packets per second per protocol

Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]

  • От високо ниво
      • Анализ на данните

.