¿Alguien sabe qué IDS de red de código abierto utilizan técnicas de anomalía? Mi proyecto es compararlos, así que si me diera algunos consejos, eso sería muy apreciado.
Actualmente, estoy mirando Snort con SPADE y el preprocesador Snort.AD. Bro también afirma ser capaz de detectar nuevos ataques (función de detección de anomalías), pero no puedo encontrar ningún documento que explique cómo Bro logró eso.
Es gracioso, ayer estaba leyendo sobre SPADE porque tenía una pregunta similar. Tendría curiosidad por saber más sobre lo que se te ocurre.
Mientras tanto, puedo señalarte otros recursos. Se ha hablado sobre detección de anomalías en la lista de correo del día a día durante los últimos dos meses , pero ninguna herramienta o técnica en particular se destacó y hubo una explosión de un video faltante . Quizás valga la pena echarle un vistazo, sin embargo.
Mi introducción a la detección de anomalías fue hace alrededor de una década a través de Ourmon (software gratuito de código abierto) y Lancope (comercial ). Poco después, SPADE y Bro comenzaron a aparecer en la escena como potenciales en el espacio de código abierto. Siempre me interesaron los datos de NetFlow como fuente de anomalías, y hoy tiene herramientas FOSS como FlowMatrix o FlowBAT si prefiere las herramientas CERT SiLK.
He encontrado un uso de Bro (a través del proyecto SecurityOnion) para realizar detección de anomalías de DNS . Normalmente, otros están integrando sus capacidades de detección en Splunk (ya que hay muchos libros escritos), y en particular, las Prelert están centradas en Esa dirección (con demos, como Splunk). Para ello, también encontré esta página en syslog analizadores de registro basados en anomalías . Finalmente, una herramienta llamada Skyline parecía interesante, aunque comenzando desde una perspectiva más de ITOps.
Lea otras preguntas en las etiquetas ids