- Văn bản
- Lịch sử
An anomaly-based IDS creates a traf
An anomaly-based IDS creates a traffic profile as it observes traffic in normal
operation. It then looks for packet streams that are statistically unusual, for exam
ple, an inordinate percentage of ICMP packets or a sudden exponential growth in
port scans and ping sweeps. The great thing about anomaly-based IDS systems is
that they don’t rely on previous knowledge about existing attacks—that is, they can
potentially detect new, undocumented attacks. On the other hand, it is an extremely
challenging problem to distinguish between normal traffic and statistically unusual
traffic. To date, most IDS deployments are primarily signature-based, although
some include some anomaly-based features.
Snort
Snort is a public-domain, open source IDS with hundreds of thousands of existing
deployments [Snort 2012; Koziol 2003]. It can run on Linux, UNIX, and Windows
platforms. It uses the generic sniffing interface libpcap, which is also used by
Wireshark and many other packet sniffers. It can easily handle 100 Mbps of traffic;
for installations with gibabit/sec traffic rates, multiple Snort sensors may be needed.
To gain some insight into Snort, let’s take a look at an example of a Snort signature:
alert icmp $EXTERNAL_NET any -> $HOME_NET any
(msg:”ICMP PING NMAP”; dsize: 0; itype: 8;)
This signature is matched by any ICMP packet that enters the organization’s net
work ($HOME_NET) from the outside ($EXTERNAL_NET), is of type 8 (ICMP
ping), and has an empty payload (dsize = 0). Since nmap (see Section 1.6) generates
ping packets with these specific characteristics, this signature is designed to detect
nmap ping sweeps. When a packet matches this signature, Snort generates an alert
that includes the message “ICMP PING NMAP”.
Perhaps what is most impressive about Snort is the vast community of users and
security experts that maintain its signature database. Typically within a few hours of
a new attack, the Snort community writes and releases an attack signature, which is
then downloaded by the hundreds of thousands of Snort deployments distributed
around the world. Moreover, using the Snort signature syntax, network administra
tors can tailor the signatures to their own organization’s needs by either modifying
existing signatures or creating entirely new ones.
operation. It then looks for packet streams that are statistically unusual, for exam
ple, an inordinate percentage of ICMP packets or a sudden exponential growth in
port scans and ping sweeps. The great thing about anomaly-based IDS systems is
that they don’t rely on previous knowledge about existing attacks—that is, they can
potentially detect new, undocumented attacks. On the other hand, it is an extremely
challenging problem to distinguish between normal traffic and statistically unusual
traffic. To date, most IDS deployments are primarily signature-based, although
some include some anomaly-based features.
Snort
Snort is a public-domain, open source IDS with hundreds of thousands of existing
deployments [Snort 2012; Koziol 2003]. It can run on Linux, UNIX, and Windows
platforms. It uses the generic sniffing interface libpcap, which is also used by
Wireshark and many other packet sniffers. It can easily handle 100 Mbps of traffic;
for installations with gibabit/sec traffic rates, multiple Snort sensors may be needed.
To gain some insight into Snort, let’s take a look at an example of a Snort signature:
alert icmp $EXTERNAL_NET any -> $HOME_NET any
(msg:”ICMP PING NMAP”; dsize: 0; itype: 8;)
This signature is matched by any ICMP packet that enters the organization’s net
work ($HOME_NET) from the outside ($EXTERNAL_NET), is of type 8 (ICMP
ping), and has an empty payload (dsize = 0). Since nmap (see Section 1.6) generates
ping packets with these specific characteristics, this signature is designed to detect
nmap ping sweeps. When a packet matches this signature, Snort generates an alert
that includes the message “ICMP PING NMAP”.
Perhaps what is most impressive about Snort is the vast community of users and
security experts that maintain its signature database. Typically within a few hours of
a new attack, the Snort community writes and releases an attack signature, which is
then downloaded by the hundreds of thousands of Snort deployments distributed
around the world. Moreover, using the Snort signature syntax, network administra
tors can tailor the signatures to their own organization’s needs by either modifying
existing signatures or creating entirely new ones.
0/5000
Một ID bất thường dựa trên tạo ra một hồ sơ lưu lượng truy cập như nó quan sát giao thông ở bình thườnghoạt động. Nó sau đó tìm kiếm các dòng gói dữ liệu thống kê bất thường, kỳ thiple, tỷ lệ phần trăm không điều độ của gói tin ICMP hoặc một sự tăng trưởng hàm mũ đột ngột trongCảng quét và ping càn quét. Điều tuyệt vời về sự bất thường dựa trên ID hệ làhọ không dựa vào các kiến thức trước về hiện tại các cuộc tấn công — có nghĩa là, họ có thểcó khả năng phát hiện mới, cuộc tấn công không có giấy tờ. Mặt khác, nó là một cực kỳCác vấn đề đầy thách thức để phân biệt giữa giao thông bình thường và bất thường về mặt thống kêlưu lượng truy cập. Đến nay, hầu hết ID triển khai chủ yếu là chữ ký dựa trên, mặc dùmột số bao gồm một số tính năng dựa trên sự bất thường.SnortSnort là một mã nguồn mở, tên miền công cộng ID với hàng trăm hàng ngàn sẵn cótriển khai [Snort năm 2012; Koziol 2003]. Nó có thể chạy trên Linux, UNIX và Windowsnền tảng. Nó sử dụng sniffing chung libpcap giao diện, trong đó cũng được sử dụng bởiWireshark và nhiều khác sniffers gói. Nó có thể dễ dàng xử lý 100 Mbps của lưu lượng truy cập;cho việc cài đặt có tỷ lệ lưu lượng truy cập gibabit/giây, nhiều Snort cảm biến có thể là cần thiết.Để đạt được một số sâu vào Snort, chúng ta hãy nhìn vào một ví dụ về chữ ký Snort:cảnh báo icmp $EXTERNAL_NET bất kỳ -> $HOME_NET bất kỳ(bột ngọt: "ICMP PING NMAP"; dsize: 0; itype: 8;)Chữ ký này phù hợp bởi bất kỳ gói ICMP vào mạng lưới các tổ chứclàm việc ($HOME_NET) từ bên ngoài ($EXTERNAL_NET), là loại 8 (ICMPping), và có một tải trọng rỗng (dsize = 0). Kể từ khi nmap (xem phần 1.6) tạo raPing túi với những đặc điểm cụ thể, chữ ký này được thiết kế để phát hiệnnmap ping quét. Khi một gói tin khớp với chữ ký này, Snort tạo ra một cảnh báođiều đó bao gồm các tin nhắn "ICMP PING NMAP".Có lẽ điều Ấn tượng nhất về Snort là cộng đồng lớn của người sử dụng vàchuyên gia bảo mật duy trì cơ sở dữ liệu chữ ký của nó. Thông thường trong vòng một vài giờmột cuộc tấn công mới, cộng đồng Snort viết và phát hành một chữ ký cuộc tấn công, mà làsau đó tải về của hàng trăm ngàn Snort triển khai phân phốiTrên toàn thế giới. Hơn nữa, bằng cách sử dụng cú pháp chữ ký Snort, mạng administraTors có thể thay đổi chữ ký cho nhu cầu của tổ chức riêng của họ bằng cách sửa đổi hoặchiện có chữ ký hoặc tạo ra hoàn toàn mới.
đang được dịch, vui lòng đợi..
Một IDS bất thường dựa trên tạo ra một hồ sơ giao thông vì nó quan sát giao thông bình thường
hoạt động. Sau đó nó sẽ cho dòng gói tin đó là không bình thường về mặt thống kê, cho kỳ thi
ple, một tỷ lệ quá mức của các gói tin ICMP hoặc một sự tăng trưởng theo cấp số nhân đột ngột
quét cổng và ping sweep. Những điều tuyệt vời về các hệ thống IDS bất thường dựa trên là
rằng họ không dựa trên kiến thức trước đây về hiện các cuộc tấn công có nghĩa là, họ có thể
có khả năng phát hiện, các cuộc tấn công không có giấy tờ mới. Mặt khác, nó là một cực kỳ
vấn đề thách thức để phân biệt giữa giao thông bình thường và bất thường về mặt thống kê
giao thông. Đến nay, hầu hết các IDS triển khai chủ yếu dựa trên chữ ký, mặc dù
một số bao gồm một số tính năng khác thường dựa trên.
Snort
Snort là một công miền, IDS mã nguồn mở với hàng trăm ngàn hiện
triển khai [Snort 2012; Koziol 2003]. Nó có thể chạy trên Linux, UNIX, và Windows
nền tảng. Nó sử dụng giao diện sniffing libpcap chung chung, mà còn được sử dụng bởi
Wireshark và nhiều gói sniffers khác. Nó có thể dễ dàng xử lý 100 Mbps giao thông;
cho việc cài đặt với tỷ lệ giao thông gibabit / giây, nhiều cảm biến Snort có thể cần thiết.
Để đạt được một số cái nhìn sâu sắc vào Snort, chúng ta hãy xem một ví dụ của một chữ ký Snort:
alert icmp $ EXTERNAL_NET bất kỳ - > $ HOME_NET bất kỳ
(msg: "ICMP PING NMAP"; dsize: 0; itype: 8;)
chữ ký này khớp với bất kỳ gói tin ICMP đi vào lưới của tổ chức
công việc ($ HOME_NET) từ bên ngoài ($ EXTERNAL_NET), là các gõ 8 (ICMP
ping), và có một tải trọng rỗng (dsize = 0). Kể từ nmap (xem Phần 1.6) tạo ra
các gói tin ping với những đặc điểm cụ thể, chữ ký này được thiết kế để phát hiện
các cuộc càn quét nmap ping. Khi một gói tin phù hợp với chữ ký này, Snort tạo ra một cảnh báo
bao gồm các thông điệp "ICMP PING NMAP".
Có lẽ những gì là ấn tượng nhất về Snort là một cộng đồng rộng lớn của người dùng và
các chuyên gia an ninh để duy trì cơ sở dữ liệu chữ ký của mình. Thông thường trong vòng một vài giờ của
một cuộc tấn công mới, cộng đồng Snort viết và phát hành một dấu hiệu tấn công, mà là
sau đó tải về của hàng trăm ngàn việc triển khai Snort phân phối
trên toàn thế giới. Hơn nữa, bằng cách sử dụng cú pháp chữ ký Snort, mạng Administra
TOR có thể chỉnh các chữ ký cho nhu cầu tổ chức riêng của họ bằng cách thay đổi
chữ ký hiện có hoặc tạo ra hoàn toàn mới.
hoạt động. Sau đó nó sẽ cho dòng gói tin đó là không bình thường về mặt thống kê, cho kỳ thi
ple, một tỷ lệ quá mức của các gói tin ICMP hoặc một sự tăng trưởng theo cấp số nhân đột ngột
quét cổng và ping sweep. Những điều tuyệt vời về các hệ thống IDS bất thường dựa trên là
rằng họ không dựa trên kiến thức trước đây về hiện các cuộc tấn công có nghĩa là, họ có thể
có khả năng phát hiện, các cuộc tấn công không có giấy tờ mới. Mặt khác, nó là một cực kỳ
vấn đề thách thức để phân biệt giữa giao thông bình thường và bất thường về mặt thống kê
giao thông. Đến nay, hầu hết các IDS triển khai chủ yếu dựa trên chữ ký, mặc dù
một số bao gồm một số tính năng khác thường dựa trên.
Snort
Snort là một công miền, IDS mã nguồn mở với hàng trăm ngàn hiện
triển khai [Snort 2012; Koziol 2003]. Nó có thể chạy trên Linux, UNIX, và Windows
nền tảng. Nó sử dụng giao diện sniffing libpcap chung chung, mà còn được sử dụng bởi
Wireshark và nhiều gói sniffers khác. Nó có thể dễ dàng xử lý 100 Mbps giao thông;
cho việc cài đặt với tỷ lệ giao thông gibabit / giây, nhiều cảm biến Snort có thể cần thiết.
Để đạt được một số cái nhìn sâu sắc vào Snort, chúng ta hãy xem một ví dụ của một chữ ký Snort:
alert icmp $ EXTERNAL_NET bất kỳ - > $ HOME_NET bất kỳ
(msg: "ICMP PING NMAP"; dsize: 0; itype: 8;)
chữ ký này khớp với bất kỳ gói tin ICMP đi vào lưới của tổ chức
công việc ($ HOME_NET) từ bên ngoài ($ EXTERNAL_NET), là các gõ 8 (ICMP
ping), và có một tải trọng rỗng (dsize = 0). Kể từ nmap (xem Phần 1.6) tạo ra
các gói tin ping với những đặc điểm cụ thể, chữ ký này được thiết kế để phát hiện
các cuộc càn quét nmap ping. Khi một gói tin phù hợp với chữ ký này, Snort tạo ra một cảnh báo
bao gồm các thông điệp "ICMP PING NMAP".
Có lẽ những gì là ấn tượng nhất về Snort là một cộng đồng rộng lớn của người dùng và
các chuyên gia an ninh để duy trì cơ sở dữ liệu chữ ký của mình. Thông thường trong vòng một vài giờ của
một cuộc tấn công mới, cộng đồng Snort viết và phát hành một dấu hiệu tấn công, mà là
sau đó tải về của hàng trăm ngàn việc triển khai Snort phân phối
trên toàn thế giới. Hơn nữa, bằng cách sử dụng cú pháp chữ ký Snort, mạng Administra
TOR có thể chỉnh các chữ ký cho nhu cầu tổ chức riêng của họ bằng cách thay đổi
chữ ký hiện có hoặc tạo ra hoàn toàn mới.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- nó cũng phá hủy đường sá và đường ray xe
- listen and read
- với bản thân em
- gathered should have received more five
- DISCUSSION POINT: CROSS-FOSTERINGWhat ne
- 너네집 근저야
- Bạn có muốn tối nay chúng ta cùng dùng b
- On June 17, 1994, the Unified Buddhist C
- 얼마나
- carrying some chairs
- take after
- they are five people in the family, they
- nhưng tôi thấy bài viết của bạn có một v
- sở thích của tôi là
- Great cartographic and mathematical skil
- he said that a strong square jaw was a s
- they are five people in the family, they
- con gái tôi 10 tuổi. cô ấy đang học
- Cách ứng xử
- vốn pháp định
- sau khi hoc tieng nhat 3 thang toi van c
- but no one's returned their ticket so fa
- bạn có thể cho tôi file mp3 được ko?
- potential threats and hazards for human
