Re: [ml] Tuning degli IDS/IPS, grandezza del campione & statistica

Federico Lombardo wrote:
> Salve a tutti,
> leggendo qualche paper qui e li mi sono è venuto all'occhio che
> parecchi (tutti) vendors sui loro motori IDS/IPS fissano una finestra
> predefinita di bytes entro la quale prevedono di identificare

Dieci anni fa, Newsham e Ptacek hanno dimostrato i concetti di evasion,
insertion e deletion, oltre a mostrare come le contromisure verso uno di
detti attacchi aprono la finestra dell'altro.

In buona sostanza, cio' che accade e' che su un iDs ti puoi permettere
di ampliare i falsi positivi e includere sia insertion sia deletion,
mentre su un iPs dove il falso positivo costa di piu' tendi a ridurli, e
quindi ad ampliare i falsi negativi.

In sintesi, il rischio che vedi c'e', ma il fatto e' voluto. C'e' da
dire che la gran maggioranza degli IPS si frega anche con cose tipo path
espressi in modo non canonico, encoding, o semplicemente con exploit non
uguali a quelli di metasploit... :-D

-- 
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4017
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    http://home.dei.polimi.it/zanero/