полезность сигнатурных IDS

0

0

Разбираюсь сейчас со снортом -- смотрю его сигнатуры, исходники.

И стал мне не понятен его смысл использования именно как host based IDS. Посмотреть, например, его стандартный набор правил smtp.rules. Если у меня есть smtp-сервер, уязвимый для атак описаных в сигнатурах, то почему не пофиксить эти уязвимости? А отслеживать разные сканирования, tiny fragments и пр. -- imho никчему...

Или кто-то его использует?? Просвятите, plz.

Ссылка

←	broadcast/multicast icmp + 2.6.14

не могу разобраться с записями logwatch

→

Да хотя бы для того, чтобы увидеть большой интерес к своим ресурсам со стороны кого-нибудь и сделать выводы :-)

saper ★★★★★
(16.12.05 09:26:57 MSK)

Ответ на: комментарий от saper 16.12.05 09:26:57 MSK

Хорошо, увидел -- и что дальше?

lunc ★
(16.12.05 11:18:23 MSK) автор топика

Ответ на: комментарий от lunc 16.12.05 11:18:23 MSK

А зачем вы тогда его вообще ставили, если задаете такой вопрос?

anonymous
(16.12.05 11:29:53 MSK)

Ответ на: комментарий от anonymous 16.12.05 11:29:53 MSK

Я разрабатываю адаптивный NIDS, работающий на уровне ядра ОС и основанный на иммунных алгоритмах.

На примере Snort, GassataNG, pH, tinyids и пр. разбираюсь что уже есть и как работает. Snort и tinyids -- сигнатурные NIDS. Вот и возник у меня вопрос в их полезности вообще... Пока не совсем понимаю _практическую_ пользу от обнаружения атак, кроме DoS...

Тем более есть тулзы типа snot, позволяющие увеличить false positives сигнатурных IDS до неадекватных размеров так, что администратор будет не в состоянии вообще что-либо увидеть в логах.

lunc ★
(16.12.05 13:41:11 MSK) автор топика

Ответ на: комментарий от lunc 16.12.05 13:41:11 MSK

> Я разрабатываю адаптивный NIDS, работающий на уровне ядра ОС и основанный на иммунных алгоритмах.

А как вы понимаете, что такое имунные алгоритмы?

ivlad ★★★★★
(17.12.05 15:52:52 MSK)

Ответ на: комментарий от ivlad 17.12.05 15:52:52 MSK

Собственно самих алгоритмов там не много -- клональной, позитивной/негативной селекции + динамическая клональная селекция и пр. У меня используется некоторый промежуточный вариант между клональной и негативной селекцией -- негативная селекция запускается не на случайно сгенерированных данных, а на данных, которые уже подозреваются как атакующие.

Но, скорее это просто подход к решению задачи -- в принципе аналогию с имунной системой можно провести почти для каждой системы безопасности. Разница в том откуда "плясать" -- сразу от имунной системы, или потом проводить аналогию. У меня первый вариант.

За основу взял "опасную теорию" (http://www.dangertheory.com/ -- здесь есть ссылки на людей, по публикациям которых я и разрабатываю свою систему). Суть в том, что мы наблюдаем состояния клеток (TCP коннекции или UDP датаграммы для конкретного серверного процесса) и определяем их сресс или даже смерть как нормальную или не нормльную. На основании того, что делается с процессом мы исследуем стевой траффик -- таким образом получаем возможность обучения, при этом можем отделять на стадии обучения что нормально, а что нет....

lunc ★
(19.12.05 11:57:23 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	broadcast/multicast icmp + 2.6.14

Security

не могу разобраться с записями logwatch

→

Похожие темы