Re: [ml] Testare un NIDS

Danilo Vizzarro wrote:

> Vorrei sottoporre l'IDS ad una grande quantità di traffico che generi
> alert.

Quindi, traffico intrinsecamente diverso da quello che quella macchina
dovra' poi processare nella vita di tutti i giorni.

> Se il processore della macchina non è in grado di processare tutti i
> pacchetti in un tempo sicuramente alcuni di questi saranno persi.

Vero e falso. In realta' quella macchina si comporta come un processore
con una coda limitata di pacchetti, solo che non sai:
a) quanto e' lunga la coda
b) la distribuzione degli inter-tempi dei pacchetti (a meno che tu li
generi con un generatore statistico)
c) la distribuzione dei tempi di servizio della macchina

Ma soltanto
d) la rejection-rate dei pacchetti (cioe' quelli che vengono persi)

Quindi ti mancano degli elementi base per poter ottenere un qualsiasi
risultato intelleggibile.

Peraltro, usare pacchetti che generano allarmi falsa intrinsecamente il
test, perche' il loro tempo di servizio e' diverso da quello di un
pacchetto "normale". Inoltre, siccome i meccanismi di clustering delle
regole per le performance creano degli alberi di regole diversi da una
lunga lista lineare, anche il mix di traffico in ingresso cambia di gran
lunga i risultati.

Morale della favola: non puoi ottenere in questo modo un "numero" che
dica qualcosa di significativo, sorry.

-- 
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4010/3660
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    www.elet.polimi.it/upload/zanero