OpenForum RSS: OpenSource утилиты для обнаружения 'необычного поведения' https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html Пытаюсь найти утилиту, которая бы могла уведомлять администратора о "необычном поведении". Под необычным поведением понимается выход наблюдаемого параметра (например, количества запросов к сайту или DNS-серверу) за определенные границы. Т.к. параметров много и вручную всем пороги не выставить, хочется, чтобы утилита сама собирала статистику и, сравнивая предыдущие значения с текущими, била тревогу.<br><br>Хочу ее приспособить для раннего обнаружения DDoS-атак (хотя бы на три минуты раньше, чем все успеет полечь) и некорректного поведения роботов, запрашивающих странички сайтов.<br><br>Нет ли у кого на примете чего-то похожего?<br> OpenSource утилиты для обнаружения 'необычного поведения' (angra) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#14 Fri, 31 Oct 2008 14:58:24 GMT Ну вообще-то я математик по образованию :)<br> OpenSource утилиты для обнаружения 'необычного поведения' (maxdukov) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#13 Fri, 31 Oct 2008 08:43:51 GMT &gt;Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что <br>&gt;при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, <br>&gt;но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения <br>&gt;и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова <br>&gt;для всех параметров, ведь в общем случае любой параметр это вещественное <br>&gt;число + история его изменения в БД. <br><br>не устраивает объемом "самописности".<br>Вы представляете себе мат-аппарат? способ определения весовых коэфицентов?<br> <br><br> OpenSource утилиты для обнаружения 'необычного поведения' (angra) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#12 Fri, 31 Oct 2008 01:31:43 GMT Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова для всех параметров, ведь в общем случае любой параметр это вещественное число + история его изменения в БД. <br><br> OpenSource утилиты для обнаружения 'необычного поведения' (maxdukov) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#11 Wed, 29 Oct 2008 09:01:39 GMT &gt;&gt;Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что <br>&gt;&gt;вы подразумеваете занесение пороговых значений в конфиги. <br>&gt;<br>&gt;Нет, коллега спрашивает про весьма интересную вещь - определение атак не по <br>&gt;сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно <br>&gt;можно описать "пороговыми значениями" - но вся соль в том, что <br>&gt;эти самые значения выставляются системой автоматически - после сбора статистики. <br>&gt;у Cisco это называется MARS. <br>&gt;GPL решения пока не видел <br><br>вру. поискал - и вот что нашел http://www.bro-ids.org/Features.html<br>Но сути обычная policy-based IDS. Но с функцией Anomaly-Based IDS.<br><br> OpenSource утилиты для обнаружения 'необычного поведения' (maxdukov) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#10 Wed, 29 Oct 2008 08:01:00 GMT &gt;Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что <br>&gt;вы подразумеваете занесение пороговых значений в конфиги. <br><br>Нет, коллега спрашивает про весьма интересную вещь - определение атак не по сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно можно описать "пороговыми значениями" - но вся соль в том, что эти самые значения выставляются системой автоматически - после сбора статистики.<br>у Cisco это называется MARS.<br>GPL решения пока не видел<br> OpenSource утилиты для обнаружения 'необычного поведения' (angra) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#9 Fri, 24 Oct 2008 21:22:12 GMT Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что вы подразумеваете занесение пороговых значений в конфиги.<br> OpenSource утилиты для обнаружения 'необычного поведения' (IRoman) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#8 Tue, 21 Oct 2008 03:24:58 GMT &gt;И в каком месте это является проблемой? <br><br>Вы первое сообщение топика читали или зашли отметиться в обсуждении?<br><br><br> OpenSource утилиты для обнаружения 'необычного поведения' (angra) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#7 Mon, 20 Oct 2008 18:50:10 GMT &gt;У первого для всех тестов пороги задаются в конфигах, <br><br>И в каком месте это является проблемой?<br> OpenSource утилиты для обнаружения 'необычного поведения' (IRoman) https://www.solaris.opennet.ru/openforum/vsluhforumID10/4021.html#6 Mon, 20 Oct 2008 05:47:38 GMT &gt;Я никогда не сталкивался с системами обнаружения, но зная теорию - это <br>&gt;собственно основной принцип подобного рода систем ) <br>&gt;Что можно вообще отловить "статическими сигнатурами" ) <br><br>Обнаружение аномалий - совершенно точно не основной способ работы snort, а он позиционирует себя "the de facto standard for intrusion detection/prevention".<br><br><br><br><br><br><br>