Нужна помощь кого-нибудь с хорошим техническим\математическим английским

0

0

Здравствуйте!

Есть задача реализовать алгоритм, описанный здесь:

http://nms.lcs.mit.edu/papers/portscan-oakland04.html

Но с английским у меня не очень. Может ли кто-нибудь конструктивно изложить сам алгоритм без всякой теории?

Заранее спасибо!

Ссылка

←	Linux: выбор темы диплома.

Матан, школьный курс.

→

первая часть - блаблабла про балансирование систем обнаружения вторжений между качеством и скоростью.

Новый алгоритм может определить атаку с 4-5 попыток подключения (к порту видимо), в сравнении с предыдущими схемами работы. ОМГ, мой английский.

Вобщем софт мониторит сетевую активность (сканирование портов) и если она необычна (не соответствует обычной, которая зописана), то софт кричит "Алярм! Ахтунген!"

~~adminchik~~ ★
(28.04.07 23:01:41 MSD)

Ответ на: комментарий от adminchik 28.04.07 23:01:41 MSD

да я, вообщем-то, знаю, что он делает :) мне бы знать при каких раскладах он кричит "Ахтунг!"..

cons
(28.04.07 23:07:47 MSD) автор топика

Ответ на: комментарий от cons 28.04.07 23:07:47 MSD

когда чует неладное)

~~adminchik~~ ★
(28.04.07 23:10:55 MSD)

Ответ на: комментарий от adminchik 28.04.07 23:10:55 MSD

там снизу статья в pdf'e) я, вообще, понял, что там суть состоит в том, что идет некоторый стохастический процесс: на каждом ходу вычисляется условная вероятность гипотезы того, что какой-то хост -- сканер, при условии, что только что произошли какие-то события, но вот для того, чтобы четко понять алгоритм моего английского не хватило(

cons
(28.04.07 23:15:22 MSD) автор топика

Ссылка

Тут скорее нужна помщь людей знающих последовательный анализ. В доке комментарии к формулам не достаточно полно объясняют суть уравнений. Походу, без чтения [8] A. Wald. Sequential Analysis. J. Wiley & Sons, New York, 1947 с уравнениями разобраться не получится. Я по крайней мере ниасилил.

mutronix ★★★★
(28.04.07 23:50:08 MSD)

Ссылка

ну в общем есть множество локальных хостов. Для каждого ремотного хоста R мы смотрим к кому из локальных он коннектится: L1, L2, L3 ...

причем мы отслеживаем только первую попытку к каждому локальному хосту -- то есть все Li разные. И смотрится результат -- было успешное установление соединения (в работе тольок TCP рассматривается), либо был облом.

Только первая попытка рассматривается видимо для того чтобы можно было считать что распределение этих исходов будет хорошее независимое.

Дальше считается что эта последовательность исходов независимая и с какой-то вероятностью успех или облом. если R хороший, то вероятность успеха >= Pb, а если плохой то <= Pm. И естествкенно Pm < Pb

Конкретные значения Pm и Pb видимо зависят от конкретной сети, напримиер от плотности активных хостов в локальном адресном пространстве.

Дальше стандартная задача статистики -- отделить 2 гипотезы. Они считают likelihood -- вероятность исходов при выполнении гипотезы о том что хост хороший и вероятность исходов при гипотезе что хост плохой. Если отношение likelihood'ов выпадает за какие-то пределы то они считают что с этим хостом все ясно и либо прекращают его мониторить либо блокируют его

А пределы для отношения высчитываются из желаемых параметров false positive и false negative

dilmah ★★★★★
(29.04.07 02:53:33 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Linux: выбор темы диплома.

Talks

Матан, школьный курс.

→

Похожие темы