¿Detección de anomalías en la red o detección de intrusiones basada en anomalías?

0

Al implementar un sistema de detección de intrusiones basado en anomalías, si quiero descartar los ataques U2R y R2L (para evitar la inspección profunda de paquetes), y considerar solo los ataques Probe y DoS, ¿qué características debo tener en cuenta? ¿Debo considerar los papeles de anomalía de la red o los documentos basados en intrusiones?

Como aprendí, hay documentos que consideran la detección de anomalías de red (corte de enlace, transferencias de archivos grandes, ... así como DoS, ataques de sonda) y hay documentos que consideran la detección de intrusiones (DoS, Probe, U2R y R2L ataques).

¿Son los papeles anteriores el caso especial de estos últimos? Me refiero a que el espacio de funciones utilizado para ellos es un subconjunto de este último.

    
pregunta Yasser 21.11.2012 - 14:43
fuente

1 respuesta

2

Primera respuesta, por favor no llames :-)

Si entiendo su pregunta correctamente, entonces sí, podría pensar en los ataques como un subconjunto de anomalías. En algunos casos esto es útil, pero no terriblemente. Si, por ejemplo, tienes un segmento de red muy silencioso que nunca ve tráfico y de repente te golpeas. El cambio de tráfico es una anomalía que podría ser un DoS intencional, o tal vez simplemente pone su sitio web en search-engine-x y finalmente obtuvo algo de tráfico. La realidad de la situación es contextual, una de las razones por las que es tan importante ajustar sus firewalls / ips / ids / etc. Sería mi consejo mirar a ambos de manera independiente y también considerarlos de manera integral. Afinar, ajustar, refinar.

Desde un punto de vista de análisis, incluso diría que los ataques coherentes, es decir, el estándar, que desaparecen repentinamente también provocan una bandera roja. Positivo: su red ha estado recibiendo sondas de bajo nivel de un rango de IP específico durante un mes consecutivo. Estos tipos de análisis de molestias a menudo se pasan por alto, pero hoy en día, sin ninguna razón que pueda decir, se detienen. Esto es una anomalía para los patrones de tráfico de la red, pero ¿es algo bueno o malo?

En cuanto a la última parte; La actividad de la red maligna (DoS, Sondas) y la detección de intrusión (al observar las actividades de u2r / r2l / etc) son dos clases diferentes de análisis de detección.

Hay un documento decente sobre esto en enlace aunque está un poco anticuado, creo que aún es relevante tu pregunta.

    
respondido por el grauwulf 21.11.2012 - 17:22
fuente

Lea otras preguntas en las etiquetas