¿Cómo identifico un puerto / protocolo desconocido que recoge mi IDS?

Veamos, esto debería ser fácil: lea un buen artículo como Clasificación de tráfico fuera de línea / en tiempo real mediante el aprendizaje semiprotegido

Entonces, tal vez mezcle algo de conocimiento para entender completamente una sola lectura a través de Técnicas estadísticas para la seguridad de la red (barato, solo $ 160 en amazon)

Luego encienda su editor de texto favorito y codifique un poco, pero utilice RapidMiner o Weka porque, bueno, codificar esos algoritmos es también fácil .

Finalmente, pasa un par de horas ajustando los algoritmos y luego todo listo.

Aparte del sarcasmo, los pasos anteriores describen una forma académicamente popular de resolver creativamente muchos problemas difíciles en seguridad. Ojalá pudiera decir que podría hacer lo anterior de manera competente. ¡Tal vez usted pueda escribir una herramienta para hacerlo!

Comenzaría con la lista de la IANA aquí . A continuación, investigaría el (los) host (s) en su red hacia donde fluye el tráfico para tratar de determinar la aplicación responsable del tráfico. Si lo encuentra en la lista de la IANA, este es solo un paso de verificación. Si el tráfico es consistente y no es malicioso, debería poder determinar qué aplicación está recibiendo / generando el tráfico utilizando netstat en el host.

Usamos Amap de The Hacker's Choice. Si alguien intenta ofuscar un servicio cambiando su número de puerto, Amap lo identificará. Si se trata de un protocolo que Amap no conoce, entonces todavía estás SOL.

enlace

  

Amap es una herramienta de próxima generación para ayudar a las pruebas de penetración de red.    Realiza detección de protocolo de aplicación rápida y confiable, independiente.    en el puerto TCP / UDP al que están vinculados.