Тематический план

  • Сбор информации

    tcpdump и wireshark - средства сбора информации и мониторинга сети

  • Анализ числа SYN и SYN_ACK пакетов

    Ведётся подсчёт числа пакетов в TCP соединениях с установленными SYN и SYN_ACK флагами. Определяется среднее по времени число таких пакетов и выясняются причины возможных отклонений от среднего значения.

  • nmap и portsentry

    Утилиты nmap и portsentry для сканирования сети и обнаружения сканирования

  • Структура TCPDUMP log-файла

    Рассматривается формат log-файла программы TCPDUMP и программа работы с ним

  • Методы Data Mining в задачах обнаружения нарушений в сети

  • Модель программы обнаружения вторжений

    Рассматривается общая архитектура системы обнаружения вторжений, необходимые компоненты и функционал такой программы.

    • Задание. Реализовать модель обнаружения вторжений и выполнить следующие пункты:
    • 1. Использовать один из dump-файлов предыдущего раздела
    • 2. Выбрать 2-4 характеристики состояния сети
    • 3. Если характеристик больше двух, то использовать метод главных компонент для снижения размерности до двух.
    • 4. Вывести результат распределения точек данных на плоскости
    • 5. Выявить и проанализировать кластеры в распределении точек данных.