Background
Estoy trabajando en snort Portscan Module para detectar exploraciones Stealth.Snort utiliza una buena cantidad de estructuras de datos para capturar eventos de exploración y establecer explícitamente los valores de umbral.
typedef struct s_PS_ALERT_CONF
{
short u_ip_count; //no of ip address scanning the victim
short u_port_count; //no of ports scanned on the victim
short connection_count; //no.of connection attempts by scanner
short priority_count; //no.of invalid/negative response packets
}
Snort tiene tres modos de detección: alto, bajo, medio . Estos modos básicamente le dicen a snort cuánto tiempo tiene que esperar el snort antes de restablecer estas estructuras de datos. Estos valores de tiempo son establecido explícitamente por los usuarios
Para detectar escaneos ocultos, tengo que entender o saber algo de tiempo estándar acerca de qué tan lentamente el robot / gusano escanea la red.
Query
¿Alguien tiene una idea, qué tan lentamente los bots / gusanos realizan escaneos sigilosos teniendo en cuenta el equilibrio entre la eficacia del escaneo de bots y la evasión de detección de escaneo?
E.g: como una exploración por hora o una exploración por dos horas