异常入侵检测

Question

有人知道哪些开源网络IDS正在使用异常技术吗？我的项目是比较他们，所以如果你能给我一些提示，这将是非常感谢。

目前，我正在研究Snort与铲子和Snort.AD前处理器.Bro还声称能够检测到新的攻击(异常检测功能)，但我找不到任何解释Bro如何实现这一目标的文档。

Answer 1

这很有趣，我昨天刚读到关于铲子的文章，因为我有一个类似的问题。我很想听听你想出的更多信息。

同时，我可以告诉你一些其他的资源。在过去的两个月里，有一些关于日报邮件列表中的异常检测的讨论，但是没有什么特别的工具或技术出类拔萃，在丢失视频上也有一点爆炸。不过，也许值得一查。

大约十年前，我通过乌尔蒙 (免费开源软件)和Lancope (商业软件)介绍异常检测。此后不久，SPADE和Bro开始以开源空间中的潜力出现在现场。奇怪的是，我一直将NetFlow数据作为异常源使用，如果您喜欢CERT SiLK工具，那么现在您已经拥有了FOSS工具，如FlowMatrix或FlowBAT。

我遇到了一种使用Bro (通过SecurityOnion项目)来执行DNS异常检测的方法。通常，其他人正在将他们的检测功能集成到Splunk中(因为有很多书编写) --特别是，普雷尔特工具套件正专注于这个方向(使用演示，就像Splunk一样)。为此，我还在syslog 基于异常的测井仪上找到了这个页面。最后，一个名为天际线的工具看起来很有趣，尽管它是从一个更ITOps的角度开始的。