- OpenSource утилиты для обнаружения 'необычного поведения',
 Pahanivo, 19:42 , 19-Окт-08 (1)"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort. Не надо мешать мух и котлеты.
- OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 21:05 , 19-Окт-08 (2)
>"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.
>Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort.
>Не надо мешать мух и котлеты. Не вижу никаких причин, почему системы мониторинга параметров не могут обнаруживать атаки (тот же nagios может зафиксировать DDoS-атаку по целому ряду признаков). Вопрос не в том, как назвать, а в том, где взять. К сожалению, ни nagios, ни snort не способы справиться с поставленной задачей. У первого для всех тестов пороги задаются в конфигах, у второго - обнаружение атак по статичным сигнатурам. Возможно, я ошибаюсь, и знатоки snort-а укажут возможный способ. Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его среднее значение. Если в какой-то момент отклонение от среднего значения оказывается значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал тревоги.
- OpenSource утилиты для обнаружения 'необычного поведения', Mikhail, 22:13 , 19-Окт-08 (3)
- OpenSource утилиты для обнаружения 'необычного поведения', Pahanivo, 22:59 , 19-Окт-08 (4)
>Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его
>среднее значение. Если в какой-то момент отклонение от среднего значения оказывается
>значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал
>тревоги. Я никогда не сталкивался с системами обнаружения, но зная теорию - это собственно основной принцип подобного рода систем )
Что можно вообще отловить "статическими сигнатурами" )
- OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 09:47 , 20-Окт-08 (6)
>Я никогда не сталкивался с системами обнаружения, но зная теорию - это
>собственно основной принцип подобного рода систем )
>Что можно вообще отловить "статическими сигнатурами" ) Обнаружение аномалий - совершенно точно не основной способ работы snort, а он позиционирует себя "the de facto standard for intrusion detection/prevention".
- OpenSource утилиты для обнаружения 'необычного поведения', angra, 22:50 , 20-Окт-08 (7)
>У первого для всех тестов пороги задаются в конфигах, И в каком месте это является проблемой?
- OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 07:24 , 21-Окт-08 (8)
>И в каком месте это является проблемой? Вы первое сообщение топика читали или зашли отметиться в обсуждении?
- OpenSource утилиты для обнаружения 'необычного поведения', angra, 01:22 , 25-Окт-08 (9)
Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что вы подразумеваете занесение пороговых значений в конфиги.
- OpenSource утилиты для обнаружения 'необычного поведения', maxdukov, 11:01 , 29-Окт-08 (10)
>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что
>вы подразумеваете занесение пороговых значений в конфиги. Нет, коллега спрашивает про весьма интересную вещь - определение атак не по сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно можно описать "пороговыми значениями" - но вся соль в том, что эти самые значения выставляются системой автоматически - после сбора статистики.
у Cisco это называется MARS.
GPL решения пока не видел
- OpenSource утилиты для обнаружения 'необычного поведения', maxdukov, 12:01 , 29-Окт-08 (11)
>>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что
>>вы подразумеваете занесение пороговых значений в конфиги.
>
>Нет, коллега спрашивает про весьма интересную вещь - определение атак не по
>сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно
>можно описать "пороговыми значениями" - но вся соль в том, что
>эти самые значения выставляются системой автоматически - после сбора статистики.
>у Cisco это называется MARS.
>GPL решения пока не видел вру. поискал - и вот что нашел http://www.bro-ids.org/Features.html
Но сути обычная policy-based IDS. Но с функцией Anomaly-Based IDS. - OpenSource утилиты для обнаружения 'необычного поведения', angra, 04:31 , 31-Окт-08 (12)
Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова для всех параметров, ведь в общем случае любой параметр это вещественное число + история его изменения в БД.
- OpenSource утилиты для обнаружения 'необычного поведения', maxdukov, 11:43 , 31-Окт-08 (13)
>Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что
>при первом взгляде кажется, что пороговые значения нужно заносить в конфиг,
>но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения
>и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова
>для всех параметров, ведь в общем случае любой параметр это вещественное
>число + история его изменения в БД. не устраивает объемом "самописности".
Вы представляете себе мат-аппарат? способ определения весовых коэфицентов?
|
Версия для распечатки
OpenSource утилиты для обнаружения 'необычного поведения', 
