On 10/26/09 9:41 PM, Stefano Zanero wrote:
Rissone Ruggero wrote:
Mi hai fatto tornare in mente una presentazione vista parecchio tempo
fa (almeno 4-5 anni or sono) dove si parlava di tool che fungevano da
IDS trainer, e che permettevano di ricavare, previa acquisizione di
un numero sufficientemente esaustivo di traffico, delle regole di IDS
da applicare che rispecchiavano la "normal behaviour".
Tool, non credo ;-)
C'e' molta ricerca (stai parlando di anomaly detection), ma niente di
veramente utilizzabile eccetto le soluzioni di Arbor e di Lancope.
<DISCLAIMER> La mia societa' sviluppa un NIDS anomaly-based </DISCLAIMER>
Arbor e Lancope sviluppano soluzioni anomaly-based basate sui flussi,
cioe' monitorano parametri di rete quali numero di connessioni iniziate
in una certa finestra temporale, connessioni fallite, ecc.
Per quanto invece riguarda il payload, vere e proprie regole (come
quelle di Snort) sono difficili da generare per un arbitrario
protocollo. Nel 99% dei casi si usano modelli matematici per "descrivere
il normal behaviour". Ovviamente gli utenti hanno pochissimo controllo
su questi modelli.
Per HTTP ho sviluppato durante il mio dottorato un algoritmo per creare
regole simili a regular expression che gli utenti possono "vedere" e
modificare facilmente.
Noi abbiamo sviluppato prima dei PoC e adesso abbiamo un sistema che
monitora il web server dell'universita', con 2 engine diversi (quello
"generico" e quello specifico per HTTP). Stiamo avendo buoni risultati,
ma ovviamente abbiamo la nostra dose di falsi positivi da controllare ;)
ciao
--
Dr. Damiano Bolzoni
[email protected]
Homepage http://dies.ewi.utwente.nl/~bolzonid/
PGP public key http://dies.ewi.utwente.nl/~bolzonid/public_key.asc
Skype ID: [email protected]
Distributed and Embedded Security Group - University of Twente
P.O. Box 217 7500AE Enschede, The Netherlands
Phone +31 53 4893744
Mobile +31 629 008724
ZILVERLING building, room 3007
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
