NIDS
From Ilianko
Contents
Методи за откриване на нарушители
Два основни метода за откриване на нарушители[1]:
- базирани на аномалии
- базирани на модели на нарушения
базирани на аномалии
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:
- статистика - statistic,
- машинно обучение machine learning,
- извличане на знание от данни - data mining
Модел на нормалния трафик се построява по определени параметри:
- брой изградени връзки
- брой пакети в различните протоколи
- ...
модели на нарушения
Използва pattern recognition.
Отличителни белези
- От ниско ниво - необработен трафик
- IP headers
- Аddress
- протокол
- byte per packet
- packet payload
- packets per protocol
- packets per second per protocol
- IP headers
Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]
- От високо ниво
- Анализ на данните
.
