it-swarm-korea.com

내 IDS가 선택하는 알 수없는 포트 / 프로토콜을 어떻게 식별합니까?

포트와 프로토콜을 검색하면 기껏해야 간결한 설명이 나오고 평균적인 경우 링크 팜이 나타납니다. 분류되고 알려지지 않은 상위 ​​포트에있는 대부분의 프로토콜에는 일반 텍스트가 거의 또는 전혀 포함되어 있지 않으며, 세션 중간에 IDS가 작동하는 경우 세션 설정도 표시되지 않는 경우가 많습니다.

다른 파일 유형을 나타내는 파일 서명의 유용한 목록 이 있습니다. Wireshark에 내장 된 프로토콜 외에 전송 계층 위의 프로토콜에 대해 이와 같은 것을 본 적이 없습니다.

누구든지 이것에 대한 좋은 정보 소스를 알고 있습니까?

또 다른 옵션은 네트워크 데이터에 대한 기계 학습 분류기입니다. 나는 그것들을 설명하는 논문을 보았고 하나의 시작을 만드는 프로젝트를 보았지만 사용 가능한 개발 단계에서 하나를 찾지 못했습니다.

7
user502

보자, 이것은 쉬워야한다 : 반지도 학습을 사용한 오프라인/실시간 트래픽 분류 와 같은 좋은 논문을 읽으십시오.

그런 다음 단일 읽기를 통해 완전히 이해 한 지식을 혼합하여 Statistical Techniques for Network Security (저렴한, Amazon에서 단 $ 160)

그런 다음 좋아하는 텍스트 편집기를 실행하고 약간의 코드를 작성하되 RapidMiner 또는 Weka 를 활용하십시오. 왜냐하면 알고리즘 코딩은 too 쉽습니다.

마지막으로 알고리즘을 조정하고 모든 설정을 조정하는 데 몇 시간을 보냅니다.


풍자 외에도 위의 단계는 보안에서 많은 어려운 문제를 창의적으로 해결하는 학문적으로 인기있는 방법을 설명합니다. 위의 작업을 능숙하게 할 수 있다고 말하고 싶습니다. 도구를 작성하여 수행 할 수 있습니다!

4
Tate Hansen

IANA의 목록 여기 부터 시작하겠습니다. 다음으로 트래픽을 담당하는 응용 프로그램을 확인하기 위해 트래픽이 이동하는 네트워크의 호스트를 조사합니다. IANA 목록에서 찾은 경우 이는 확인 단계 일뿐입니다. 트래픽이 일관되고 악성이 아닌 경우 호스트에서 netstat를 사용하여 트래픽을 수신/생성하는 애플리케이션을 파악할 수 있어야합니다.

3
sdanelson

우리는 The Hacker 's Choice의 Amap을 사용합니다. 누군가 포트 번호를 변경하여 서비스를 난독 화하려고하면 Amap이이를 식별합니다. Amap이 모르는 프로토콜이라면 여전히 SOL입니다.

http://freeworld.thc.org/thc-amap/

Amap은 네트워크 침투 테스트를 지원하는 차세대 도구입니다. 바인딩되는 TCP/UDP 포트에 관계없이 빠르고 안정적인 애플리케이션 프로토콜 감지를 수행합니다.

2
Weber