Implementación de un IDS

Si estás leyendo artículos académicos, es probable que estés leyendo sobre características esotéricas, problemas distribuidos y otros temas OPEN interesantes en la batalla actual de IDS.

Si está buscando (a) papel (es) específico (s), le sugiero que busque un ENCUESTA de sistemas existentes. Las encuestas suelen dar una revisión histórica con énfasis en el estado actual de la técnica. En general, son fáciles de leer y ligeros en el análisis de núcleo duro. Busqué en Google la "encuesta de sistemas de detección de intrusos" y obtuve tantos resultados viables que ni siquiera me molestaría en vincularlos a ninguno de ellos. Puede intentar enfocarse exclusivamente en el mundo académico al ingresar a los principales sitios web de investigación académica de CS como CiteSeerX .

Dado que este es un proyecto a largo plazo, la naturaleza del sistema debe ser escalable. No intente hacer todo lo posible: tal vez intente crear un IDS basado en host en lugar de tratar de resolver problemas más difíciles. También es posible que desee centrarse en algo fácil como un enfoque basado en firmas en lugar de un enfoque basado en heurística. Recuerde: el problema principal que está tratando de resolver es el de la detección de intrusiones, en lugar de, digamos, sistemas distribuidos.

Por supuesto, si te encuentras con más tiempo en tus manos al final, aumenta. El desarrollo de software es un proceso evolutivo. Comience con algo simple y construya.

Para una mirada interesante en un IDS de "investigación", también puede consultar Bro . El sitio web también tiene una gran cantidad de documentación interesante y enlaces a artículos y temas de investigación.

Los Snort foros serían un excelente lugar para obtener información. Están enfocados en el motor de snort, pero gran parte de la discusión que no está relacionada con la configuración de snort debería ser aplicable a muchas implementaciones de IDS.