Hasta donde yo sé, no hay puntajes de referencia para medir el IPS y el IDS. Hay herramientas para probar el sistema IPS contra el rendimiento y la confiabilidad.
Para un proyecto actual de IPS / IDS, estaba buscando un sistema de prueba para comparar varios motores IDS / IPS. La idea era registrar las capturas de red que transportaban muestras de malware en HTTP, SMTP u otros protocolos, y reproducirlas en los distintos motores de detección. El problema es que las herramientas como tcpreplay, bittwist u Ostinato reproducen la traza en una sola tarjeta de red, lo que significa que tanto el lado “cliente” como el “servidor” de la comunicación se inyectan en la misma NIC del motor de detección.
Lo que quiero es un motor de reproducción de paquetes que use dos NIC para reproducir la captura de paquetes en el motor de detección desde ambos lados, simulando una conversación “real”. Ese motor existe, y se llama Tomahawk Test Tool creado por TippingPoint. Desafortunadamente, parece que ya no se actualiza, con el último cambio desde 2006. Y, para complicar un poco más las cosas, no se compila fácilmente en los sistemas Debian actuales (en mi caso, este es Debian 7, o “Wheezy”) porque las bibliotecas que utiliza se han cambiado mientras tanto. Supongo que será lo mismo con versiones posteriores.
Así que aquí está mi tutorial sobre cómo configurar Tomahawk en Wheezy desde cero ( Actualización : esto solo parece funcionar en Debian de 32 bits , no en 64 bits; vea los comentarios de Sebastián a continuación):
- Instale el sistema base de Debian, sin paquetes opcionales (tal vez el servicio SSH, pero sin escritorio, servidor DNS, etc.). Por lo general, anulo la selección de todos ellos, incluido SSH.
- Una vez hecho esto, agregue un par de paquetes necesarios para compilar Tomahawk: apt-get install ssh gcc flex bison make
- Vaya a / usr / src y obtenga la fuente de Tomahawk: cd / usr / src wget http: //prdownloads.sourceforge.n…
- Obtenga viejas bibliotecas LibPCAP y LibNet. Como están desactualizados, los puse en mi propio servidor para facilitar el acceso, pero puedes buscarlos tú mismo en otros lugares si lo prefieres, por supuesto.wget http://www.packet-foo.com/tomaha… wget http : //www.packet-foo.com/tomaha…
- Descomprima todo: tar xzf tomahawk1.1.tar.gz tar xzf libnet-1.0.2a.tar.gz tar xzf libpcap-0.8.1.tar.gz rm * .gz
- Compile LibPCAP: cd /usr/src/tomahawk/libpcap-0.8.1 ./configure make make install
- Compile LibNetcd /usr/src/tomahawk/Libnet-1.0.2a ./configure make make install
- Compile Tomahawk: cd /usr/src/tomahawk/tomahawk1.1 make make install
- Prueba: ./ tomahawk -l 1 -f test.pcap
En la caja que instalé Tomahawk tengo 3 interfaces. Uso eth0 como interfaz de administración, mientras que eth1 y eth2 son mis interfaces de reproducción. Un comando de reproducción típico se vería así: tomahawk -l 1 -f ipstest1.pcap -i eth1 -j eth2
- ¿Cuáles son algunos modelos de detección de rostros basados en aprendizaje profundo disponibles gratuitamente?
- ¿Qué suele hacer que una red neuronal deje de mejorar temprano?
- ¿Cuál es el mejor lenguaje de programación para implementar algoritmos de aprendizaje automático?
- ¿Cómo escapa / resiste una red neuronal profunda a la maldición de la dimensionalidad?
- ¿Cómo detectamos las anamolias que causan la caída de la máquina y la pérdida de producción en la fabricación?