¿Qué sistemas IDS, IPS en Network Security hoy en día son los más adaptables para aprender nuevas amenazas? ¿Hay algún tipo de punto de referencia estándar para medir esto?

Hasta donde yo sé, no hay puntajes de referencia para medir el IPS y el IDS. Hay herramientas para probar el sistema IPS contra el rendimiento y la confiabilidad.
Para un proyecto actual de IPS / IDS, estaba buscando un sistema de prueba para comparar varios motores IDS / IPS. La idea era registrar las capturas de red que transportaban muestras de malware en HTTP, SMTP u otros protocolos, y reproducirlas en los distintos motores de detección. El problema es que las herramientas como tcpreplay, bittwist u Ostinato reproducen la traza en una sola tarjeta de red, lo que significa que tanto el lado “cliente” como el “servidor” de la comunicación se inyectan en la misma NIC del motor de detección.

Lo que quiero es un motor de reproducción de paquetes que use dos NIC para reproducir la captura de paquetes en el motor de detección desde ambos lados, simulando una conversación “real”. Ese motor existe, y se llama Tomahawk Test Tool creado por TippingPoint. Desafortunadamente, parece que ya no se actualiza, con el último cambio desde 2006. Y, para complicar un poco más las cosas, no se compila fácilmente en los sistemas Debian actuales (en mi caso, este es Debian 7, o “Wheezy”) porque las bibliotecas que utiliza se han cambiado mientras tanto. Supongo que será lo mismo con versiones posteriores.
Así que aquí está mi tutorial sobre cómo configurar Tomahawk en Wheezy desde cero ( Actualización : esto solo parece funcionar en Debian de 32 bits , no en 64 bits; vea los comentarios de Sebastián a continuación):

  1. Instale el sistema base de Debian, sin paquetes opcionales (tal vez el servicio SSH, pero sin escritorio, servidor DNS, etc.). Por lo general, anulo la selección de todos ellos, incluido SSH.
  2. Una vez hecho esto, agregue un par de paquetes necesarios para compilar Tomahawk: apt-get install ssh gcc flex bison make
  3. Vaya a / usr / src y obtenga la fuente de Tomahawk: cd / usr / src wget http: //prdownloads.sourceforge.n…
  4. Obtenga viejas bibliotecas LibPCAP y LibNet. Como están desactualizados, los puse en mi propio servidor para facilitar el acceso, pero puedes buscarlos tú mismo en otros lugares si lo prefieres, por supuesto.wget http://www.packet-foo.com/tomaha… wget http : //www.packet-foo.com/tomaha…
  5. Descomprima todo: tar xzf tomahawk1.1.tar.gz tar xzf libnet-1.0.2a.tar.gz tar xzf libpcap-0.8.1.tar.gz rm * .gz
  6. Compile LibPCAP: cd /usr/src/tomahawk/libpcap-0.8.1 ./configure make make install
  7. Compile LibNetcd /usr/src/tomahawk/Libnet-1.0.2a ./configure make make install
  8. Compile Tomahawk: cd /usr/src/tomahawk/tomahawk1.1 make make install
  9. Prueba: ./ tomahawk -l 1 -f test.pcap

En la caja que instalé Tomahawk tengo 3 interfaces. Uso eth0 como interfaz de administración, mientras que eth1 y eth2 son mis interfaces de reproducción. Un comando de reproducción típico se vería así: tomahawk -l 1 -f ipstest1.pcap -i eth1 -j eth2

Related Content

¿Cuál es la relación entre un modelo múltiple que interactúa y un filtro de Kalman?

¿Vale la pena obtener un doctorado en aprendizaje automático y procesamiento del lenguaje natural?

¿Por qué se usa Python para el aprendizaje profundo si es tan lento?

Cómo estudiar TensorFlow

¿Cuáles son los 10 mejores algoritmos de minería de datos o aprendizaje automático? En 2006, la Conferencia IEEE sobre minería de datos identificó los 10 algoritmos principales. ¿Siguen siendo válidos?

Estuve en la industria de IDS antes de que tuviera un Cuadrante Mágico. Esta es una gran pregunta por varias razones, pero puede ser difícil documentar una respuesta.

Cuando habla de un sistema que se adapta o “aprende nuevas amenazas”, surgen varias preguntas en mi mente.

La mayoría de los IDS / IPS se operan mediante el procesamiento de un conjunto de reglas básicas o heurísticas. En esta era moderna de “inteligencia de amenazas” como industria, a veces esto significa que la decisión de qué tráfico bloquear se determina en gran parte en otros lugares y se incorpora, explícita o implícitamente, en los datos dentro de los “feeds” que suministran estos datos de amenazas a El punto de control.

Creo que es justo decir que ningún proveedor tiene la única “IA” verdadera que siempre hará lo correcto, sin aceptación falsa o eventos de rechazo falsos.

Por esa razón, si tuviera que seleccionar cuál es el más “adaptativo”, probablemente estaría evaluando qué sistema tenía el mejor mecanismo para ajustar el comportamiento en función de la entrada o configuración del usuario.

El espacio también se ha nublado a medida que los proveedores comienzan a ofrecer una nueva funcionalidad que se realiza “en el cable” pero enfocada en abordar la seguridad de clases particulares de hosts (por ejemplo, puntos finales).

No hay duda de que Snort había dominado durante algún tiempo como la plataforma sobre la cual muchas personas podrían crear contramedidas IDS / IPS de red personalizadas para los ataques.

En estos días, el conjunto de capacidades incorporadas en Bro parece haber permitido que una nueva generación de constructores de IPS intente crear plataformas a medida o generalmente disponibles para detectar y mitigar los ataques de manera ajustable.

No sé si he visto algo que parezca un punto de referencia universalmente aceptado para evaluar FAR / FRR en un IPS y generar curvas de estilo ROC (característica de funcionamiento del receptor) consistentes en las ofertas IDS / IPS de múltiples proveedores. Hay laboratorios privados que probarán productos cuando sean contratados por el fabricante. También hay algunos conjuntos de datos de acceso público que podrían ayudar a hacer esto, pero no creo que nadie realmente sea dueño de ese negocio.

Steve Driz

Checkpoint es mi favorito personal basado en la madurez y el rendimiento. También puede consultar el siguiente artículo de SC Best IDS / IPS

Steve Driz

More Interesting

¿El teorema de no almuerzo gratis no es una contradicción al descubrimiento del algoritmo maestro?

¿Puede Naive Bayes alcanzar algún rendimiento con suficientes datos?

Estoy creando un plan de enrutamiento de vehículos con la ruta y el costo más bajos. ¿Sería más significativo el agrupamiento k-k o los vecinos k-más cercanos?

Máquina de Boltzmann restringida (RBM): ¿Cómo se podría reformular (y / o explicar) las dos tareas en la siguiente diapositiva de una charla de Geoffrey Hinton?

¿Cuáles son algunas de las herramientas de procesamiento de lenguaje natural más comunes utilizadas por las grandes corporaciones minoristas?

¿Hay alguna manera de determinar o reducir las opciones con las que uno debería experimentar para mejorar (por ejemplo) una red neuronal clasificadora de imágenes binarias?

¿Se utiliza R en la minería de datos a gran escala en grandes compañías de software como Facebook y LinkedIn?

¿En qué casos notamos un problema de gradiente que explota o desaparece y por qué?

¿Cuántas imágenes necesita un buen sistema de aprendizaje automático para aprender un nuevo concepto?

Cómo saber que un modelo de similitud de documentos puede lograr un alto rendimiento / mejor calidad que los otros modelos

¿Qué significa la siguiente declaración: las redes neuronales son generalmente paramétricas y optimizadas para producir una estimación puntual?

¿Cuál es la mejor herramienta de optimización bayesiana para optimizar hiperparámetros de grandes redes neuronales?

¿Cómo puedo evitar el sobreajuste?

La IA ha existido por décadas. ¿Qué condujo a toda la publicidad reciente de AI / Deep Learning?

¿Cómo analizan los algoritmos de aprendizaje automático y los algoritmos basados ​​en léxico las palabras coloquiales en un análisis de sentimientos de Twitter?