问题标签 [intrusion-detection]

我必须部署一个基于 Snort 的入侵防御系统。

我在这方面完全是新手，所以任何形式的帮助，初学者的参考将不胜感激。

snort 文档也谈到了 Honeynet Snort Inline Toolkit，但它的可用链接返回 404。我在 Honey net 上检查过，但找不到。

我还在文档中读到自定义插件也可以为 snort 编写，是否有任何 java 库可以做到这一点？

请帮忙。

提前致谢

阿什什

我正在尝试为 snort 创建一个规则，以便在用户尝试访问其中包含“恶意软件”一词​​的页面时基本上记录任何数据包。这就是我所拥有的，只是要求一些指导。因此，基本上，一旦网页包含该短语，它就会显示警报。

我正在学习参加 Security+ 考试。我真的很难弄清楚这张图表。我明白了大部分。有人可以解释以下内容吗？

1. 为什么这张图片中有 2 个传感器都指向分析仪？

2. 为什么安全策略不是块？

3. 为什么“趋势和报告”没有输入？

4. 这张图可以这样重绘，意思一样吗？

这真的让我很困惑。

我目前在 Fedora 14 上安装了 Snort 2.9.0.4 。Snort IDS 模式运行良好，我想从 Snort IDS 实现一个 IPS。我对 linux 环境完全陌生。

我试图掌握神经网络相对于其他用于入侵检测系统的人工智能算法的效率。我正在阅读的大多数文献都没有对神经网络与其他 IDS 进行很好的比较。

它们是否工作得更好（检测更多的真实攻击和更少的误报）？他们的效率更高还是更低？

另一个问题是 NN 在 IDS 环境中有多新？它们被广泛使用，是旧新闻吗？

我想开发一个可以与其中一个 KDD 数据集一起使用的入侵检测系统 (IDS)。在本例中，我的数据集有 42 个属性和超过 4,000,000 行数据。

我正在尝试使用模糊关联规则构建我的 IDS，因此我的问题是：在这种情况下，什么实际上被认为是模糊逻辑的最佳工具？

我想知道是否有一种方法可以轻松地通过自定义类推送 tomcat 请求（例如，无需大量修改代码库）来执行诸如运行正则表达式以检查 XSS 和 SQL 注入攻击并拒绝它们/基于它们清理它们之类的事情关于这方面的知识。

谢谢

我为网络主机工作，我的工作是查找和清理被黑的帐户。我找到 90% 的 shell\malware\injections 的方法是查找“不合适”的文件。例如eval(base64_decode(.......))，其中“ .....”是一大堆通常永远不会好的 base64 化文本。当我在文件中查找关键字符串时，奇怪的文件突然出现在我面前。

如果这些文件作为人类突然出现在我身上，我确信我可以在 python 中构建某种分析器来查找统计上“不合适”的东西并将它们标记为手动审查。首先，我认为我可以比较包含关键字符串（、、、、、、、、等）的 php 文件中的行长度，并eval查找base64_decode偏离平均值2exec个标准差的行。gunzipgzinflatefwritepreg_replace

行长变化很大，我不确定这是否是一个很好的统计数据。另一种方法是将加权规则分配给 cretin 事物（超过或低于阈值的行长度 = X 点，包含单词上传 = Y 点）但我不确定我实际上可以用分数做什么或如何对每个分数进行评分属性。我的统计数据有点生疏。

谁能指出我正确的方向（指南、教程、库）进行统计分析？

一些电脑机箱带有机箱入侵检测功能。

我希望我的应用程序在启动时检查机箱入侵，如果检测到入侵以显示错误并关闭。

是否有以编程方式读取此值的标准方法？BIOS 密码与机箱入侵检测相结合是否很难在笔记本电脑中解决？

看起来不可能阻止坚定的攻击者修改一个人的进程代码/数据。我希望它至少有可能检测到这种篡改。

在 Windows 下，是否可以在当前进程中监听DLL 注入、WriteProcessMemory 和 CreateRemoteThread ？

在 Linux 下，是否可以监听 LD_PRELOAD 和DR rootkit？