Reinforcing network security by converting massive data flow to continuous connections for IDS

“…Portanto, utilizando como referência a metodologia de [Salem and Buehler 2013] para transformar fluxos de dados em vetores de características de conexões, para facilitar a aplicação de técnicas inteligentes em SDIs, foi desenvolvido um Inspector para o Snort++ que, paralelamente, desempenha duas funções: gerenciamento e classificação de conexões. A escolha do plug-in tipo Inspector deve-se ao fato de que, dentre todos os outros tipos de plug-ins, o Inspector encontra-se em um patamar intermediário entre baixos níveis de abstrações (codificação/decodificação de pacotes) e altos níveis de abstrações (manipulação e configuração de regras), e por lidar diretamente com as características de um pacote,é adequado para gerenciar características de conexões (múltiplos pacotes).…”

“…Portanto, a abordagem de timeouts utilizadas para protocolos UDP e ICMP também deve abranger o protocolo TCP, atribuindo a cada estado um tempo limite adequado. A política de timeout utilizada neste trabalho, proposta por [Salem and Buehler 2013],é mostrada na Tabela 2. A verificação de timeouts das conexõesé feita por uma thread que, periodicamente, checa a lista de conexões ativas no Inspector.…”

Aplicação e Análise Comparativa do Desempenho de Classificadores de Padrões para o Sistema de Detecção de Intrusão Snort

“…Portanto, utilizando como referência a metodologia de [Salem and Buehler 2013] para transformar fluxos de dados em vetores de características de conexões, para facilitar a aplicação de técnicas inteligentes em SDIs, foi desenvolvido um Inspector para o Snort++ que, paralelamente, desempenha duas funções: gerenciamento e classificação de conexões. A escolha do plug-in tipo Inspector deve-se ao fato de que, dentre todos os outros tipos de plug-ins, o Inspector encontra-se em um patamar intermediário entre baixos níveis de abstrações (codificação/decodificação de pacotes) e altos níveis de abstrações (manipulação e configuração de regras), e por lidar diretamente com as características de um pacote,é adequado para gerenciar características de conexões (múltiplos pacotes).…”

“…Portanto, a abordagem de timeouts utilizadas para protocolos UDP e ICMP também deve abranger o protocolo TCP, atribuindo a cada estado um tempo limite adequado. A política de timeout utilizada neste trabalho, proposta por [Salem and Buehler 2013],é mostrada na Tabela 2. A verificação de timeouts das conexõesé feita por uma thread que, periodicamente, checa a lista de conexões ativas no Inspector.…”

Aplicação e Análise Comparativa do Desempenho de Classificadores de Padrões para o Sistema de Detecção de Intrusão Snort