对于NIDS来说，这足够了吗？

Question

我正在做我的高级项目网络入侵检测系统(以太网网络)，我有一些困难，以决定我是否增加了足够的功能。

目前，该系统检测到以下内容：

• ARP Cache中毒攻击
• TCP DOS攻击
• UDP DOS攻击
• ICMP洪水
• TCP端口扫描
• UDP端口扫描
• Web策略冲突FTP和Telnet将很快被添加

它理解Snort规则，使用公开可用的Snort签名可以检测网络映射工具和其他一些东西的使用。

所以我的问题是：

我是否为系统打包了足够多的特性，使其被称为基线NIDS？

Answer 1

根据定义，这是一个NIDS。对于您的项目来说，这可能是不够的，也可能不够。

对于现实世界的NIDS来说，可能更重要的是它是如何更新的，如何被调优，它是如何管理的，它如何报告异常或警报等等。下面的任何一个在NIDS中都是有用的。

• 更新--使用Snort签名非常有用。有什么启发/学习能力吗？
• 调优--如何训练系统，并在网络地形或使用发生变化时保持系统的更新？
• 管理-这是独立的还是一个数组的一部分？
• 报告--您是否在阈值、可能性或仅在签名匹配时发出警报？
• 日志-你记录了什么，在哪里？系统日志服务器功能？

Answer 2

如果您想比较NIDS的特性集，那么我建议您看看安全洋葱，这是一个用于IDS (入侵检测)和NSM (网络安全监视)的非常棒的Linux发行版。它目前是32位，基于Xubuntu10.04，包含Snort、Suricata、Sguil、Squert、Snorby、Bro、NetworkMiner、Xplico和许多其他安全工具。我建议退房

IMHO，为了使NIDS设备有用，它必须是NSM。许多网络入侵检测系统失败了，因为它们仅仅是由于某项法规、遵从性要求或来自“四大”顾问的建议而被安装的(不是对所有的“四大”顾问不屑一顾，有些是优秀的，比如经常发生的Rory...this )，以及管理NIDS设备的内部人员几乎无法拼写TCP/IP。你必须考虑到可用性：

• 易用性
• 安装方便
• 易懂
• 很容易将警报变成人为的管理人员可以理解的东西。

安全洋葱是一个复杂的野兽，已经存在了3年(我认为)，所以离基线很远，但看看它，并采取先决条件的功能。也值得安装来看看Doug如何实现他的解决方案。它已经在非常大的环境中被积极使用，所以它肯定与您的项目相关。

它将作为一个fyi完全重建x64。

wiki是这里和一些演示文稿这里。

这是对@RoryAlsop的优秀评论的补充。

免责声明:我试图帮助(道格和斯科特)安全洋葱。