¿Por qué no se implementan esquemas de detección de intrusos basados en anomalías en Snort?

Navega tus respuestas
1

He leído muchos artículos sobre detección de intrusiones en redes basadas en anomalías. ¿Estoy seguro de que cada una de sus técnicas podría implementarse como preprocesador Snort? Si esto es cierto, ¿por qué no hay preprocesadores de detección de anomalías disponibles actualmente para Snort, a pesar del hecho de que hay muchos artículos sobre este tema?

SPADE ya no se incluye en snort como aprendí. PHAD, por Bernhard Guillon, debe ser parcheado, no oficial. AnomalyDetection está, por supuesto, disponible.

¿Los algoritmos de detección de anomalías son inútiles en la práctica?

    
pregunta Yasser 12.11.2012 - 12:35
fuente

1 respuesta

2

Hay dos razones:

  • Primero, la detección de intrusiones de red basada en anomalías es más difícil de traducir de la investigación a la práctica de lo que parece a primera vista. Tiende a generar muchas falsas alarmas.

  • Segundo, esos son artículos de investigación. Los investigadores a menudo construyen un prototipo de investigación que es lo suficientemente bueno como para probar la idea (como prueba de concepto). Hay una gran cantidad de trabajo adicional para construir algo prácticamente desplegable, por lo que solo una pequeña fracción de los trabajos de investigación llega tan lejos. Esto es cierto en casi todas las investigaciones de informática, no solo en la detección de intrusiones basada en anomalías.

Para su pregunta sobre si la detección de anomalías es inútil en la práctica, consulte Neural networks & Detección de anomalías en este sitio. (La barra de búsqueda es tu amiga; ¡pruébala!)

    
respondido por el D.W. 13.11.2012 - 00:59
fuente

Lea otras preguntas en las etiquetas

Separando Apache y MySQL sobre Tor para seguridad, rendimiento y confiabilidad Pregunta: ¿Cómo planificar la política de correo electrónico para las empresas de nueva creación?