detección de anomalías: problema de cálculo de características [cerrado]

Navega tus respuestas
-3

Tengo una pregunta sobre cómo calcular las características seleccionadas en [1]. Se supone que el impacto del ataque DoS en las características es nSrcs=nDsts=1, nPkts/sec>a, nSYN/Pkts>b, ... (Tabla 1 de [1])

El número de fuentes ( nSrcs ) y el número de destino ( nDsts ) y otras características se calculan para cada flujo agregado según la IP de destino ( IPdst ) en este caso, en un intervalo de tiempo. (Sección 5.1 de [1])

Pero, ¿cómo es posible que un servidor web que recibe muchos flujos de diferentes fuentes ( nSrcs>1 ) coincida con los criterios DoS mencionados? Tal vez no entiendo lo que significa la agregación aquí.

Referencia: [1] Pedro Casas, Johan Mazel, Philippe Owezarski, Sistemas de detección de intrusión de red no supervisados: Detectando lo desconocido sin conocimiento , Comunicaciones informáticas, 2012.

Edición: disponible en aquí . (Este manuscrito difiere un poco del publicado)

Editar: pregunté al autor y respondí de esta manera:

  

"Todo está mal con tu razonamiento, ya que consideras básico   Cifras de tráfico y no estadísticas. Primero, necesitas aprender   acerca de lo que es una anomalía o un ataque DoS. Entonces, tienes que aprender   sobre estadísticas de tráfico en Internet ... Hay muchos artículos sobre   Esto escrito durante las dos últimas décadas. Léelos primero ".

¿Qué son las cifras estadísticas del tráfico de red?

    
pregunta Yasser 21.11.2012 - 11:12
fuente

2 respuestas

2

Si está preguntando: "Con respecto a la supervisión de IDS, ¿qué son las" estadísticas de tráfico "y dónde puedo obtener información sobre ellas? (informes técnicos, etc.)" ... entonces creo que la respuesta que busca está en el propio informe. Y hay una imagen que ilustra este concepto en la parte superior de la página 3.

  

2. Trabajo relacionado & Contribuciones

     

/ Snip ...

     

El problema de la detección de anomalías en la red ha sido ampliamente estudiado   Durante la última década. La mayoría de los enfoques analizan las variaciones estadísticas   de descriptores de volumen de tráfico (por ejemplo, número de paquetes, bytes o nuevos   flujos) y / o características de tráfico particulares (por ejemplo, distribución de IP)   direcciones y puertos), utilizando medidas de enlace único o redes   datos de trabajo amplio. Una lista no exhaustiva de métodos estándar incluye   el uso de técnicas de procesamiento de señales (por ejemplo, modelado ARIMA,   filtrado basado en wavelets) en mediciones de tráfico de enlace único [9],   Filtros de Kalman [12] para detección de anomalías en toda la red, y bocetos   aplicado a flujos de IP [14, 15].

     

[9] P. Barford, J. Kline, D. Plonka y A. Ron, "Un análisis de señal de   Anomalías en el tráfico de red ”, en Proc. ACM IMW, 2002.

     

[12] A. Soule, K. Salamatian y N. Taft, “Combinación de filtrado y   Métodos estadísticos para la detección de anomalías ”, en Proc. ACM IMC, 2005.

     

[14] B. Krishnamurthy, S. Sen, Y. Zhang, y Y. Chen, "Basado en bosquejos   Detección de cambios: métodos, evaluación y aplicaciones ”, en Proc.   ACM IMC, 2003.

     

[15] G. Dewaele, K. Fukuda, P. Borgnat, P. Abry y K. Cho, "Ex-   Tratar Anomalías Ocultas usando Sketch y Multi-   Resolución de procedimientos de detección estadística ”, en proces. LSAD, 2007.

Si encuentra enlaces para cualquiera de esos informes, agréguelos como comentario a esta respuesta; Tendría curiosidad por leerlos.

    
respondido por el random65537 22.11.2012 - 16:11
fuente
1

En la tabla 1 del artículo, los autores describen las características de los diferentes tipos de ataques. Algunos de ellos tienen nSrcs = 1, otros no. Específicamente, lo que clasifican como un ataque de DOS tiene NSrcs = 1.

Preguntas "pero, ¿qué pasa si hay dos fuentes?". Bueno, entonces tienes lo que clasifican como DDOS, donde la definición incluye nSrcs > 1.

Ahora, en la seguridad de la información práctica, no usamos esas definiciones exactas (consideramos DDOS como un subconjunto de DOS, y para tener más atributos que solo nSrcs > 1), lo que tal vez explica su confusión, pero si es necesario Clasifica los ataques de esa manera por su papel, luego lo suficientemente justo.

Es inevitable que las clasificaciones prácticas de cualquier cosa sean un poco blandas y que necesiten ajustarse si vas a hacer algunos cálculos con ellas.

    
respondido por el Graham Hill 22.11.2012 - 16:22
fuente

Lea otras preguntas en las etiquetas

¿Cómo descubren los teléfonos móviles los puntos de acceso inalámbricos? [cerrado] Omisión remota de UAC y Microsoft no lo considera como límite de seguridad [cerrado]