NIDS

From Ilianko
Revision as of 13:21, 11 April 2013 by Anko (talk | contribs) (→‎модели на нарушения)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

Методи за откриване на нарушители

Два основни метода за откриване на нарушители[1]:

  • базирани на аномалии
  • базирани на модели на нарушения


базирани на аномалии

Ако съществуват аномалии в трафика се смята, че има вероятност за атака. Използват се техники на изкуствен интелект:

Модел на нормалния трафик се построява по определени параметри:

  • брой изградени връзки
  • брой пакети в различните протоколи
  • ...

модели на нарушения

Използва pattern recognition.

Misuse detection systems, for example, IDIOT [Kumar and Spafford 1995] and STAT [Ilgun et al. 1995], use patterns of well- known attacks or weak spots of the system to match and identify known intrusions. For example, a signature rule for the “guessing password attack” can be “there are more than four failed login attempts within two minutes.” Misuse detection techniques in general are not effective against novel attacks that have no matched rules or patterns yet.

Отличителни белези

  • От ниско ниво - необработен трафик
    • IP headers
      • Аddress
      • протокол
      • byte per packet
      • packet payload
      • packets per protocol
      • packets per second per protocol

Примерно : W = a*(SYN's plus SYN-ACK sent) + b*(FIN's sent) + c*(RESETS)) / total number of TCP packets [J. R. Binkley and S. Singh. An algorithm for anomaly-based botnet detection.]

  • От високо ниво
      • Анализ на данните

.