Комментарии 2
Я ни разу не имею отношения к системам безопасности, но что мешает автоматически отбрасывать пакеты, время обработки которых превышает некий порог, и зажигать при этом какую-нить красную лампочку для службы безопасности? Да и контроль сверху над потреблением ресурсов системой защиты тоже не представляется мне чем-то трудным. Простое соотношение объёма трафика и уровня потребления ресурсов на его проверку — вот и готов универсальный детектор аномалий.
P.S. Заранее извиняюсь, если мои вопросы из серии «почему буквы чёрные и все такие разные».
P.S. Заранее извиняюсь, если мои вопросы из серии «почему буквы чёрные и все такие разные».
Детектор аномалий, будь то аномалия отдельных пакетов или системы в целом, предполагает предварительное обучение. Пороги, о которых вы говорите, различаются от конфигурации к конфигурации и, более того, время проверки пакетов также скачет, т.к. зависит от фоновой нагрузки. Поэтому автоматическое сравнение с неким фиксированным порогом неизбежно приведет к массе ложно-положительных срабатываний.
Думаю, что подобная фича может появиться, но если разработчики сочтут её необходимой :)
Думаю, что подобная фича может появиться, но если разработчики сочтут её необходимой :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что-то не так с IDS сигнатурой