Estoy trabajando en un IDS que se ha incorporado básicamente al análisis de registros. Tengo que detectar un intruso si hay alguna anomalía de comportamiento del usuario presente en los registros. Estoy teniendo problemas con las reglas de configuración para el procesamiento de registros. Entonces, ¿alguien con alguna sugerencia sobre cómo establecer las reglas?
Según mi respuesta en tu otra publicación, echa un vistazo a las cosas de detección de anomalías en los foros de Snort. Hay muchos aspectos que deberá considerar, así que intente desarrollar el trabajo que ya han realizado.
Necesitará comprender el "buen tráfico" de su red durante la fase de "ajuste inicial", usar listas blancas y listas negras de firmas, y luego elaborar un análisis heurístico si desea alertar sobre desviaciones de la norma.
Esto requiere una gran cantidad de recursos y es complejo de mantener, por lo que muchas empresas ahora subcontratan todo este artículo a los grandes proveedores de servicios gestionados.