Registro de negativos verdaderos / falsos en Snort

4

Estoy usando Snort en un entorno de laboratorio con tráfico generado artificialmente.

Estoy buscando construir una matriz de confusión a partir de ataques generados conocidos.

Los positivos verdaderos y los positivos falsos son fáciles de analizar del archivo de alertas, pero estoy buscando una manera de cuantificar los negativos verdaderos / falsos.

Estos serían casos en los que Snort podría haber alertado, pero no lo hizo.

No estoy seguro de qué tan relacionado está esto con la cantidad de paquetes, porque no estoy seguro de que Snort pueda alertar varias veces por paquete.

Cualquier ayuda es apreciada.

    
pregunta Evan 23.11.2011 - 03:04
fuente

1 respuesta

3

Lo clave que necesitas es la verdad fundamental . Necesita una forma a priori para saber qué partes del tráfico son en realidad ataques y cuáles no.

Una vez que tienes la verdad fundamental, entonces construir la matriz de confusión es sencillo. Para cada ataque en el tráfico, verifica si Snort detectó el ataque o no (esto le da un recuento de verdaderos positivos y falsos negativos). Para cada no ataque en el tráfico, verifica si Snort se alertó sobre un ataque o no (esto le da un recuento de falsos positivos y verdaderos negativos). Ahora pones esos cuatro números en tu matriz de confusión 2x2.

Si no tienes la verdad fundamental, no puedes construir la matriz de confusión.

No hay manera de usar Snort para ver los negativos en términos de alertas.

    
respondido por el D.W. 30.11.2011 - 07:28
fuente

Lea otras preguntas en las etiquetas