Re: [ml] Testare un NIDS

Esiste già un thread su insecure.org dove interviene Martin Roesch a
riguardo, tra l'altro interviene anche Stefano Zanero.
Le parole di Martin ti faranno capire meglio :

http://seclists.org/focus-ids/2006/Mar/0001.html

Ciao


Pierpaolo

On 12/11/06, Stefano Zanero <s.zanero@xxxxxxxxxxxxxxxx> wrote:
> Danilo Vizzarro wrote:
>
> > Testare non significa capire se l'IDS funziona perchè di funzionare,
> > funziona,
> > ma di capire l'efficacia dell'IDS ovvero capire se funziona bene o no.
>
> OK.
>
> Nuovo passaggio: cosa significa, per il tuo IDS, funzionare bene?
> Scoprirai che non e' banale rispondere a questa domanda.
>
> >> Cioe' ? Stressarlo facendogli generare allarmi ?
> >
> > Esatto.
>
> Questo non ti dice se l'IDS funziona "bene" o "male". Tenderei a dire
> che non ti dice assolutamente nulla :)
>
> Come ho gia' detto, "valutare se un IDS funziona bene o funziona male"
> e' un problema di ricerca totalmente aperto e quasi inesplorato, quindi
> ti suggerirei di metterti l'anima in pace e di lasciar stare.
>
> L'unica cosa che puoi realisticamente fare e' verificare "se scatta"
> (cosa che, mi dici, hai gia' verificato), ed effettuare del tuning delle
> regole per eliminare gli alert non contestuali se stai lavorando con un
> sistema misuse-based.
>
> In aggiunta a cio' potresti fare dei test sul tuo sistema HW/SW nel suo
> complesso per vedere le prestazioni in termini di throughput, ma non e'
> banale (e _non_ lo ottieni facendogli generare allarmi a raffica).
>
> --
> Cordiali saluti,
>
> Ing. Stefano Zanero, PhD
> CTO & Co-Founder
>
> Secure Network S.r.l.
> Via Matteotti 9 - 24047 Treviglio (BG) - Italia
> Phone: +39 0363.560404
> email: s.zanero@xxxxxxxxxxxxxxxx
> web: www.securenetwork.it
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List