- OpenSource утилиты для обнаружения 'необычного поведения',
Pahanivo, 19:42 , 19-Окт-08 (1)"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort. Не надо мешать мух и котлеты.
- OpenSource утилиты для обнаружения 'необычного поведения',
IRoman, 21:05 , 19-Окт-08 (2)>"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios. >Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort. >Не надо мешать мух и котлеты. Не вижу никаких причин, почему системы мониторинга параметров не могут обнаруживать атаки (тот же nagios может зафиксировать DDoS-атаку по целому ряду признаков). Вопрос не в том, как назвать, а в том, где взять. К сожалению, ни nagios, ни snort не способы справиться с поставленной задачей. У первого для всех тестов пороги задаются в конфигах, у второго - обнаружение атак по статичным сигнатурам. Возможно, я ошибаюсь, и знатоки snort-а укажут возможный способ. Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его среднее значение. Если в какой-то момент отклонение от среднего значения оказывается значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал тревоги.
- OpenSource утилиты для обнаружения 'необычного поведения',
Mikhail, 22:13 , 19-Окт-08 (3)
- OpenSource утилиты для обнаружения 'необычного поведения',
Pahanivo, 22:59 , 19-Окт-08 (4)>Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его >среднее значение. Если в какой-то момент отклонение от среднего значения оказывается >значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал >тревоги. Я никогда не сталкивался с системами обнаружения, но зная теорию - это собственно основной принцип подобного рода систем ) Что можно вообще отловить "статическими сигнатурами" )
- OpenSource утилиты для обнаружения 'необычного поведения',
IRoman, 09:47 , 20-Окт-08 (6)>Я никогда не сталкивался с системами обнаружения, но зная теорию - это >собственно основной принцип подобного рода систем ) >Что можно вообще отловить "статическими сигнатурами" ) Обнаружение аномалий - совершенно точно не основной способ работы snort, а он позиционирует себя "the de facto standard for intrusion detection/prevention".
- OpenSource утилиты для обнаружения 'необычного поведения',
angra, 22:50 , 20-Окт-08 (7)>У первого для всех тестов пороги задаются в конфигах, И в каком месте это является проблемой?
- OpenSource утилиты для обнаружения 'необычного поведения',
IRoman, 07:24 , 21-Окт-08 (8)>И в каком месте это является проблемой? Вы первое сообщение топика читали или зашли отметиться в обсуждении?
- OpenSource утилиты для обнаружения 'необычного поведения',
angra, 01:22 , 25-Окт-08 (9)Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что вы подразумеваете занесение пороговых значений в конфиги.
- OpenSource утилиты для обнаружения 'необычного поведения',
maxdukov, 11:01 , 29-Окт-08 (10)>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что >вы подразумеваете занесение пороговых значений в конфиги. Нет, коллега спрашивает про весьма интересную вещь - определение атак не по сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно можно описать "пороговыми значениями" - но вся соль в том, что эти самые значения выставляются системой автоматически - после сбора статистики. у Cisco это называется MARS. GPL решения пока не видел
- OpenSource утилиты для обнаружения 'необычного поведения',
maxdukov, 12:01 , 29-Окт-08 (11)>>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что >>вы подразумеваете занесение пороговых значений в конфиги. > >Нет, коллега спрашивает про весьма интересную вещь - определение атак не по >сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно >можно описать "пороговыми значениями" - но вся соль в том, что >эти самые значения выставляются системой автоматически - после сбора статистики. >у Cisco это называется MARS. >GPL решения пока не видел вру. поискал - и вот что нашел http://www.bro-ids.org/Features.html Но сути обычная policy-based IDS. Но с функцией Anomaly-Based IDS. - OpenSource утилиты для обнаружения 'необычного поведения',
angra, 04:31 , 31-Окт-08 (12)Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова для всех параметров, ведь в общем случае любой параметр это вещественное число + история его изменения в БД.
- OpenSource утилиты для обнаружения 'необычного поведения',
maxdukov, 11:43 , 31-Окт-08 (13)>Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что >при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, >но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения >и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова >для всех параметров, ведь в общем случае любой параметр это вещественное >число + история его изменения в БД. не устраивает объемом "самописности". Вы представляете себе мат-аппарат? способ определения весовых коэфицентов?
|