Detección basada en anomalías DoS: el enfoque más simple al lado del umbral simple

0

Como aprendí, existe esta técnica en la que se verifica el número de bytes / paquetes / tramas de tráfico agregado para ver si se desvían de un comportamiento normal. Luego, se busca el intervalo de tiempo de esa anomalía si hay algún ataque DoS dentro o para los flujos que causaron el problema (análisis de la causa raíz).

¿Podría sugerir un artículo que haga la primera parte, para detectar anomalías (DoS, ..) al verificar su desviación del comportamiento normal?

Sé que un umbral simple funcionaría, pero quiero saber cuál es el mejor método para comprender mejor a mí mismo e implementarlo antes de dirigirme a wavelet y kalman filter.

    
pregunta Yasser 26.11.2012 - 14:03
fuente

1 respuesta

1

Creo que lo mejor que se puede hacer en un umbral simple sería tener algunos reinicios más inteligentes en su conteo de umbrales. Ciertamente, cosas como la repetición constante o los paquetes sin sentido deberían activar una advertencia antes. Fuera de eso, mucho depende de si estás preocupado por DoS o DDoS. No sé si podría hacerlo mucho mejor que un umbral bien definido para DoS simples. DDoS requeriría realmente comparar el tráfico normal con el tráfico actual y buscar diferencias en los patrones que encajan. Eso se vuelve demasiado complicado para una respuesta aquí muy rápidamente, aunque mirar cosas como el filtro Baysian podría ser otra posibilidad además del filtro wavelet y kalman que mencionaste.

    
respondido por el AJ Henderson 26.11.2012 - 22:57
fuente

Lea otras preguntas en las etiquetas