问题标签 [intrusion-detection]

我在入侵检测系统上进行了很多搜索，但现在我很困惑，现在我应该从哪里开始。我不知道是否存在任何开源可重用代码，但我想用神经网络制作入侵检测和预防系统。

从开发人员的角度来看，我的问题是我应该从哪里开始。请指导我这个话题。

此外，我目前正在工作和分析 KDD CUP 1999 数据集。并寻找更多这样的数据集。

请告诉我哪些是构建入侵检测系统的最佳算法。

感谢任何回复或阅读的人。请指导我。提前致谢。

您好，我想开发使用神经网络的入侵检测系统。我知道有 41 个输入。（我从我用来训练神经网络的数据集中知道这一点）。

我需要帮助如何在实时连接中捕获这 41 个输入。请有人帮助我或至少指导我正确的方向。

提前感谢您的回答...

如何使用 JnetPcap 检查连接中的 SYN 错误（JNETPCAP 是 libpcap 的 Java 包装器）？另外如何检查连接中的REJ错误？

我正在构建入侵检测系统。目前正在为直播系统提取 KDD CUP 99 数据集的属性。

任何参考都会对我有所帮助。

我有标准的 syslog_rules.xml (OSSEC 2.6.0)。这是/var/log/messages文件中坏词的标准规则：

如何添加或修改使用$BAD_WORDS但不包括该auxpropfunc error短语的规则？也就是说，像这样：

有任何想法吗？

在入侵检测系统中，有两种技术称为异常检测和行为检测。我正在从头开始实施 IDS，并正在检查一些签名，并且从某个站点将它们作为不同类型的检测方法提供。它们的基本区别是什么？在我看来，两者都是相同的，因此相同的签名应该能够检测到这类攻击。

站点上给出的异常检测示例：检测不属于正常配置文件的函数调用

站点上给出的行为检测示例：搜索 cmd.exe 的任何远程调用。

现在在我看来，两者都是相同的东西，即偏离正常行为，那么为什么它们被描述为不同的方法？

问题

我的服务器给了我最后通牒（3 个工作日）：

“我们很遗憾地说，该数据库当前在我们的服务器上消耗了过多的资源，这导致我们的服务器性能下降影响 ITS 客户到其他数据库驱动的站点都托管在此服务器上。数据库/表/查询统计信息提供如下：

AVG 查询/记录/杀死 79500/0/0

查询增加的原因有几个。未使用的插件会增加查询次数。如果插件没有导致问题，您可以继续阻止垃圾邮件发送者的 IP 地址，这将优化查询。您还可以在数据库中查找任何垃圾邮件现有内容并将其清除。

您需要在 Stats 页面中查看排名靠前的击球手。根据访问的带宽、热门点击和 IP，您需要对它们采取特定操作以优化数据库查询。您需要阻止未知机器人（由“bot *”标识）。由于这些机器人正在从您的网站上抓取内容，博客评论向您的区域发送垃圾邮件，收集电子邮件地址，嗅探脚本中的安全漏洞，尝试使用您的邮件表单脚本作为中继来发送垃圾邮件。.htaccess 编辑器工具可用于阻止 IP 地址。”

的背景

该网站100％由我们在VB中制作。NET、mySQL 和 Win 平台（Snitz 论坛除外）。我们收到垃圾邮件的唯一一点是现在有一个验证码的评论表格。我们在工具文章、论坛等之间讨论了 4000 多个文件，总共 19GB 空间。只上传它需要我 2 周。

机器人统计

Awstats 告诉我们 2012 年 2 月：

机器人和蜘蛛

Googlebot +303 2572945 访问 5:35 GB

未知机器人（由“bot *”标识）772520 访问 +2740 259.55 MB

百度蜘蛛 +95 96 639 访问 320.02 MB

Google AdSense 35907 访问 486.16 MB

MJ12bot 33567 +1208 访问 844.52 MB

Yandex 机器人 +104 18 876 访问 433.84 MB

[...]

知识产权统计

知识产权

41.82.76.159 11681 页 12078 访问 581.68 MB

87.1.153.254 9807 页 10734 访问 788.55 MB

[...]

其他 249561 页 4055612 访问 59.29 GB

情况

帮助！！！我不知道如何使用 .htaccess 阻止 IP，也不知道什么 IP！我不确定！Awstats 在没有过去 4 天的情况下结束！

我以前试过改FTP和账号的密码，没用！我认为目标不是旨在获取反向链接和重定向的通用攻击（通常不起作用）！

我遇到了 Apache Web 服务器自行重启的问题，我的网站在管理面板和 FTP 上非常慢，我怀疑我的网站可能已被黑客入侵。

查看我的网站是否被黑客入侵并找出它是谁的最佳方法是什么？我可以采取哪些最佳程序来确保其安全且不会再次发生？

所以我有一个mac主机和一些虚拟机。我想使用 ossec 来监控我的虚拟机和我的主机 mac OS X lion。（我已经用狮子修复了编译问题，它已编译）。看到这个

我无法理解所有服务器和代理的角色是什么。如果你只想让ossec在本地运行，你在local下设置。但是我有要监控的虚拟机，所以我必须选择服务器。但是服务器是否执行代理在主机上所做的工作，例如，是否有某种代理功能来确保服务器上也发生相同的监视和检查，就像在带有代理的 VM 上一样？

如果没有，那么我如何确保主机也被 ossec 监控？我之前的想法是，ossec 必须在主机上设置为服务器和客户端，但是如果您运行两次安装程序，它将希望删除服务器的安装并将其重新设置为代理。

我在我的 Fedora 14 系统上运行旧版本的“1.1”Suricata。它是通过 yum 安装的，因此由于我读过的一些问题，它没有可用的初始化脚本。是否有一种简单的方法可以在通用初始化脚本中包含以下内容，以便 suricata 在系统启动时自动启动。

感谢您的任何帮助/指导。

我在本地运行时在 asp.net 网站的 Soultion Explorer 中发现了一些未知的 .php 文件。

当我在页面之间导航时，它会以 1.eval 代码和 2.jsc3.js.php 的名称动态创建两个文件

我知道这是对我系统的恶意入侵，我需要克服这个问题。

请帮我。

提前致谢。