問題タブ [intrusion-detection]

侵入検知システムで多くの検索を行いましたが、どこから始めればよいのか混乱しています。オープンソースの再利用可能なコードが存在するかどうかはわかりませんが、Neural Network を使用した侵入検知および防止システムを作成したいと考えています。

開発者の観点から、私の質問はどこから始めるべきかです。このトピックについて教えてください。

また、現在、KDD CUP 1999 データセットの作業と分析を行っています。そして、そのようなデータセットをさらに探しています。

侵入検知システムを構築するための最適なアルゴリズムを教えてください。

返信または読んでくれた人に感謝します..親切にこれについて私を案内してください. 前もって感謝します。

こんにちは、ニューラルネットワークを使った侵入検知システムを開発したいと思っています。私は41の入力があることを知っています。(これは、ニューラル ネットワークのトレーニングに使用したデータセットから知っています)。

この 41 の入力をライブ接続でキャプチャする方法を教えてください。誰かが私を助けてくれるか、少なくとも正しい方向に導いてください。

事前にご回答いただきありがとうございます...

JnetPcap (JNETPCAP は libpcap の Java ラッパー) を使用して接続の SYN エラーをチェックする方法は? また、接続中の REJ エラーを確認する方法を教えてください。

侵入検知システムを構築しています。現在、ライブシステム用の KDD CUP 99 データセットの属性を抽出しています。

どんな参照も私にとって役に立ちます。

標準の syslog_rules.xml (OSSEC 2.6.0) があります。/var/log/messagesこれは、ファイル内の不適切な単語の標準ルールです。

$BAD_WORDSを使用し、auxpropfunc errorフレーズを除外するこのルールを追加または変更するにはどうすればよいですか? つまり、次のようなものです。

何か案は？

侵入検知システムには、異常検知と挙動検知という 2 つの手法があります。私は IDS を最初から実装しており、いくつかの署名をチェックしていて、いくつかのサイトから、さまざまな種類の検出方法として提供されていました。それらの基本的な違いは何ですか？どちらも同じであるため、同じシグネチャでこの種の攻撃を検出できるはずです。

サイトで提供されている異常検出の例: 通常のプロファイルの一部ではない関数呼び出しの検出

サイトで提供されている動作検出の例: cmd.exe のリモート呼び出しを検索します。

どちらも同じようなもの、つまり通常の行動からの逸脱であるように思われるので、なぜそれらが異なる方法として特徴付けられたのですか??

問題

私のサーバーは私に最後通告を与えました（3営業日）：

「申し訳ありませんが、データベースは現在、サーバーのリソースを過剰に消費しています。これにより、サーバーのパフォーマンスが低下しています。このサーバーでホストされている他のデータベース駆動型サイトへの ITS 顧客への影響です。データベース / テーブル / クエリの統計情報を以下に示します。

AVG クエリ / ログ / キル 79500/0/0

クエリが増加する理由はいくつかあります。未使用のプラグインは、クエリの数を増やします。プラグインが問題を引き起こしていない場合は、スパマーの IP アドレスをブロックして、クエリを最適化することができます。また、データベース内の既存のスパム コンテンツを探して、それらをクリアすることもできます。

統計ページでトップヒッターを確認する必要があります。アクセスされる帯域幅、トップ ヒット、および IP に応じて、データベース クエリを最適化するために特定のアクションを実行する必要があります。不明なロボット ('bot *' で識別) をブロックする必要があります。これらのボットはあなたのウェブサイトからコンテンツをスクレイピングしているため、ブログのコメントがあなたの地域をスパムし、電子メール アドレスを収集し、スクリプトのセキュリティ ホールをスニッフィングし、メール フォーム スクリプトをリレーとして使用してスパム メールを送信しようとしています。.htaccess エディター ツールを使用して、IP アドレスをブロックできます。」

背景

このサイトは 100% VB で作成されています。NET、mySQL、および Win のプラットフォーム (Snitz Forum を除く)。スパムを受信した唯一のポイントは、現在キャプチャが含まれているコメント用のフォームでした。ツールの記事やフォーラムなどで 4000 以上のファイルがあり、合計 19 GB のスペースがあります。アップロードするだけで 2 週間かかります。

ロボットの統計

Awstats は 2012 年 2 月について次のように伝えています。

ロボットとスパイダー

Googlebot +303 2572945 が 5:35 GB にアクセス

不明なロボット ('bot *' で識別) 772520 アクセス +2740 259.55 MB

BaiDuSpider +95 96 639 アクセス 320.02 MB

Google AdSense 35907 が 486.16 MB にアクセス

MJ12bot 33567 +1208 アクセス 844.52 MB

Yandex ボット +104 18 876 アクセス 433.84 MB

[...]

知的財産の統計

知財

41.82.76.159 11681 ページ 12078 アクセス 581.68 MB

87.1.153.254 9807 ページ 10734 アクセス 788.55 MB

[...]

その他 249561 ペ​​ージ 4055612 アクセス 59.29 GB

状況

ヘルプ！！！.htaccess で IP をブロックする方法がわからず、どの IP かわかりません。わからない！Awstats は過去 4 日間なしで終了します。

過去にFTPとアカウントのパスワードを変更しようとしましたが、何もありません! 目標は、バックリンクとリダイレクトを取得することを目的とした一般的な攻撃ではないと思います (多くの場合、機能しません)。

Apache Web サーバーの再起動に問題があり、サイトの管理パネルと FTP が非常に遅く、サイトがハッキングされた可能性があります。

自分のサイトがハッキングされたかどうか、またハッキン​​グされた人物を特定する最善の方法は何ですか? そして、その安全性を確保し、二度と起こらないようにするために、どのような最善の手順を講じることができますか?

だから私はMacホストといくつかの仮想マシンを持っています。ossecを使用して、仮想マシンとホストであるmac OSXlionを監視したいと思います。（私はすでにライオンのコンパイルの問題を修正しました、それはコンパイルしました）。これを見る

サーバーとエージェントのすべての役割を理解するのに苦労しています。ossecをローカルでのみ実行する場合は、ローカルで設定します。ただし、監視するVMがあるため、サーバーを選択する必要があります。しかし、サーバーはホスト上でエージェントが行うことを実行しますか？エージェントを備えたVMの場合と同じように、サーバーでも同じ監視とチェックが行われるようにするための何らかのエージェント機能がありますか？

そうでない場合は、ホストがossecで監視されていることを確認するにはどうすればよいですか？私が思っていたのは、ossecをサーバーとクライアントの両方としてホストに設定する必要があるということでしたが、インストーラーを2回実行すると、サーバーのインストールが削除され、エージェントとしてのみ再作成されます。

Fedora14システムでSuricataの古いバージョン「1.1」を実行しています。これはyumを介してインストールされたため、私が読んだいくつかの問題のために、動作するinitスクリプトがありません。システムの起動時にsuricataが自動起動するように、一般的なinitスクリプトに以下を含める簡単な方法はありますか？

ヘルプ/指示をありがとう。

ローカルで実行しているときに、asp.net Web サイトの Soultion Explorer で不明な .php ファイルを見つけました。

ページ間を移動するたびに、1. eval コードと 2. jsc3.js.php という名前の 2 つのファイルが動的に作成されます

これは私のシステムへの悪意のある侵入であることを理解しており、これを克服する必要があります。

私を助けてください。

前もって感謝します。