問題タブ [intrusion-detection]

侵入検知システムは初めてです。私の知る限り、パターン マッチング (Snort の PCRE など) はパケット内の一致のみを検索するようです。

パターン マッチングは複数のパケットに適用できますか?

実際には、人々はクロスパケットのパターンを気にしますか?

Linux インスタンスを起動し、次のことを行いました。

1. 22、80、および 8080 ポートのみがインバウンド ルールとして「すべての場所」に開かれました
2. git、ruby、ruby-dev、apache、youtrack のみが、元のソースから、または「yum install」コマンドを使用してインストールされました。
3. 接続の SSH パスワード認証を許可しました。
4. 私はいくつかのユーザーを作成しました。

しかし、以下のメールが届きました。

1. ポートを特定の IP アドレスに制限することは、私たちにとって選択肢ではありません。

2. SSH ポート 22 のトラフィック ログを確認するにはどうすればよいですか?

   何を指示してるんですか？私は何をすべきか？

それは新しいホストであり、PC にマルウェアがないので、侵害/ハッキングされたとは思いませんか?

誰かが私のサーバーをハッキングするにはどうすればよいですか? これは誤って送信された不正行為レポートでしょうか?

ありがとうございました、

Openstack でインスタンスを起動しようとしています。

ダッシュボードでインスタンスを起動した後に xUBUNTU セキュリティ Onion コンソールが表示されると、スムーズに作業できません。応答時間が非常に長いため、速度の問題に直面しています。それをスピードアップする方法に関する提案はありますか？考えられる要因は何ですか？

非常に巨大なKDD-Cup 1999およびDARPA 1998/99侵入検知公開データセットはどのように生成されますか? これらの生データセットのセッションの状態を分類して保持するために使用したソフトウェア ツールを知っている人はいますか? ネットワークデータを生成したら、セッションをどのように と に分類しますanomalous (intrusion)かnormal? それを行う特別なソフトウェアツールまたはマシンはありますか?

マイクロ サービス用に IDS を構成するのに最適なアーキテクチャは何か、次の 2 つのことがすぐに頭に浮かびました。

1. すべてのマイクロ サービスのエントリ ポイントで IDS を構成する
2. マイクロ サービスごとに個別の IDS を構成する

上記の方法に従うことの長所と短所は何ですか、または他に考慮すべき点はありますか?

バイナリ インストール (preloaded_var.conf を使用) でサーバーとエージェントをインストールしました。サーバー上の agent.conf ファイルの変更はエージェントで更新されますが、エージェントを再起動すると、agent.conf の変更が実行されません。

verify-agent-conf を使用すると、 ERROR: Unable to open file '/queue/ossec/.agent_info' が発生し、その他のエラーは発生しません。

agent.conf :