Difference between revisions of "NIDS"
From Ilianko
| Line 33: | Line 33: | ||
***packets per second per protocol | ***packets per second per protocol | ||
| + | Примерно : | ||
| + | W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets | ||
| + | [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.] | ||
*От високо ниво | *От високо ниво | ||
***Анализ на данните | ***Анализ на данните | ||
| + | |||
| + | . | ||
[[Category:netThesis]] | [[Category:netThesis]] | ||
Revision as of 07:21, 10 April 2013
Contents
Методи за откриване на нарушители
Два основни метода за откриване на нарушители[1]:
- базирани на аномалии
- базирани на модели на нарушения
базирани на аномалии
Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:
- статистика - statistic,
- машинно обучение machine learning,
- извличане на знание от данни - data mining
Модел на нормалния трафик се построява по определени параметри:
- брой изградени връзки
- брой пакети в различните протоколи
- ...
модели на нарушения
Използва pattern recognition.
Отличителни белези
- От ниско ниво - необработен трафик
- IP headers
- Аddress
- протокол
- byte per packet
- packet payload
- packets per protocol
- packets per second per protocol
- IP headers
Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]
- От високо ниво
- Анализ на данните
.
