Se me ha asignado la tarea de probar la efectividad de OSSEC HIDS (por efectividad me refiero a la tasa de detección que alcanza, así como a la tasa de falsos positivos) cuando se usa un conjunto de datos de rastreos de llamadas del sistema sin procesar.
El conjunto de datos en sí es el conjunto de datos de AFDA-LD que se puede encontrar aquí enlace
Este conjunto de datos consta de 3 grupos de trazas de llamadas del sistema sin procesar generadas con el programa auditd UNIX:
- Datos de entrenamiento normales
- Datos de validación normales
- Datos de ataque.
El método utilizado para realizar esta tarea es irrelevante siempre que logre usar este conjunto de datos en particular con OSSEC HIDS.
Hasta ahora tengo la última versión de OSSEC instalada en Ubuntu 14.04. Supongo que para realizar mi tarea, OSSEC debe entrenarse primero con los datos de entrenamiento normales del conjunto de datos y luego probarse para detectar falsos positivos con los datos de validación normales y para la detección de ataques con los datos de ataque.
Mi pregunta es: ¿Se puede entrenar y probar OSSEC con rastreos de llamadas al sistema en primer lugar y, en caso afirmativo, cómo? De lo contrario, ¿se pueden utilizar los datos de este conjunto de datos en particular de alguna otra manera para probar la efectividad de OSSEC?