[LUGOS-SEC] iscem pomoc pri izgradnji...
Iztok Umek
iztok at si-con.com
Tue Mar 25 23:27:31 CET 2003
saso badovinac <sbadov at volja.net> said:
>
> >
> >Ce prav razumes, skusas postaviti nek honeypot, kjer bos opazoval dogajanje?
>
> pravzaprav nebi prevec na siroko o tem da nebi naekat imel 1000 sistemov s
> te.. hmm ceprav bi blo zanimivo tako skupinsko delo z vecimi sistemi :) no
> bomo vidl kak bo odziv..
>
> ne zadeva ni mislena kot honeypot temvec bol kot "hevristicni" sistem s
> katerim bos pregledal datoteko in ki ti bo povedal ali je trojan ali ne.
> svvar je pac ta da so antivirusi dandanes zelo sibki kr se tice novih
> virusov (trojanov) in recimo da ima ta sistem se neraziskovan potencial ki
> bi mogoce lahko resil, vsaj do neke meje, ta problem. ceprav se stvar
> mogoce zdi zelo "ekspertna" in tezga oblubim da ni :) vsaj zacetek ne
>
>
Hm, imas pravzaprav dva nacina. AV program je podoben IDS programom. Tam poznamo
predvsem dva nacina, en je signature based, to je podobno, kot uporabljajo AV
programi, drugi pa je anomaly based (recimo Manhunt je tak primer).
Kar se virusov in podobno tice, je to dosti tezje, saj so pri IDS protokoli
definirani.
Se vedno mi ni jasno (glede na odziv pa verjetno tudi drugim ne), kaj pravzaprav
hoces zgraditi. Glede na to, da si se obrnil na Lugos-sec skupino, bi se
spodobilo, da bi malce bolj podrobno opisal svojo idejo. Mene bolj skrbi to, da
imas "neko idejo" za katero pravzaprav ne ves, kaj tocno je, niti ne, kako jo
realizirati.
--
Iztok Umek
Smart Information Consulting
CCSA/CCSE, SCSA/SCNA, GISO
More information about the lugos-sec
mailing list