Vlákno názorů k článku
Systém detekce průniků založený na ohodnocování chování procesů

Je to dost obecne povidani takze se tam nejak ztraci to nejzajimavejsi, ale mozna by jsi mohl napsat jak souvisi pouziti spamassasinu s Bayesovou pravdepodobnosti a s tim, jak se ruzne obecne algoritmy daji prevest prave na Bayese. A taky proc jsi nepouzil nejakou jednoduchou testovaci implementaci podminenych pravdepodobnosti misto sofistikovaneho programu do ktereho neni videt.

Ojojoj, tolik nepresnosti v prispevku :-) - hlavne ale neexistuje Bayesova pravdepodobnost, ale jen (kdyz uz to musi byt) bayesovska statistika/pravdepodobnost (angilky Bayesian vs. Bayes).

Jinak naprosto souhlasim, pusobi to na me tak, ze nekdo mel kanon (geneticke metody) a hledal, co s nim zastrelit. O dulezitosti (nutnosti) velkych testovacich mnozin a zejmena velkych "generaci" pro bezne geneticke algoritmy si mohl precist v predstihu na mnoha mistech. Bayesovske metody by nejspis byly lepsi, ale ctelo by to nastudovat (zopakovat?) jeden vzorecek z pravdepodobnosti :-].

Souhrnem: pekna diplomka, jen teoreticky mizerne podlozena (coz je spis vytka na vedouciho diplomky, ten to mel usmernit). Hodne stesti do dalsi prace.

muj myslenkovy postup rozhodne nebyl takovy, ze bych mel geneticke algoritmy a hledal koho s nimi zastrelim..
mym cilem bylo zkusit napsat IDS, ktere by hodnotilo cinnost procesu nejakymi body na zaklade testu. pouziti genetickeho algoritmu bylo pouze odpovedi na otazku "jak stanovit optimalni bodove ohodnoceni jednotlivych testu?".
v dobe, kdy jsem zacal psat zmineny modul do kernelu, jsem ani nevedel, co to geneticky algoritmus je - ale tim bych se asi nemel chlubit, ze? :)

a na zaklade jakych kriterii jsi se rozhodl pro pouziti gen. algoritmu ?

to je otazka trochu mimo ramec meho rozhledu.
potreboval jsem vyresit optimalizacni ulohu, a pokud vim, gen.alg. jsou pro optimalizacni ulohy celkem vhodne. navic autori spamassassinu pouzivaji take gen.alg., takze uz jsem to dal nezkoumal.
netvrdim, ze je to dokonale reseni, ale v mem pripade dava dostatecne dobre vysledky. pokud system nezanikne a bude dal vyvijen, jiste se casem dostane do faze, kdy bude treba podivat se na problem optimalizace bodovych promennych "znovu a lepe", ale ted k tomu neni duvod.

Autori spamassassinu pouzivaji gen.alg. jako z nouze ctnost. V podstate je to zoufale reseni, na nic lepsiho se neprislo, tak se vzalo dostatecne obecne "velke kladivo".

a na zaklade jakych kriterii jsi se rozhodl pro pouziti gen. algoritmu ?

omlouvam se za 2x, kriticka chyba databaze...

odpovedi na otazku "jak stanovit optimalni bodove ohodnoceni jednotlivych testu?" je stejne tak dobre perceptron neural net, RCS site, b-spline, geneticke algoritmy jako cokoliv od bayesovske statistiky az po metodu nejmensich ctvercu. Nijak to nevysvetluje proc jste pouzil prave GA. Vyhodnocoval jste vubec jestli u jednotlivych utoku vubec dochazi k soubehu nekolika detekcnich testu, tak aby vubec bylo potreba delat takovou multidimenzionalni analyzu? Mimochodem v zaveru si prave na absenci soubehu vetsiho poctu testu stezujete.

> Nijak to nevysvetluje proc jste pouzil prave GA

Ano, nevysvetluje. Ale predmetem moji diplomky taky nebylo srovnavat ruzne metody, predmetem bylo implementovat IDS, a pro stanoveni optimalniho ohodnoceni testu jsem pouzil jednu z moznych metod, kterych je hafo.

> Vyhodnocoval jste vubec jestli u jednotlivych
> utoku vubec dochazi k soubehu nekolika detekcnich
> testu

Kdyby mi nekdo dal hotove testy a pripravene exploity, jiste by se to dalo vyhodnotit, ale ja nic takoveho nemel. Snazil jsem se vymyslet takove testy, aby pokryly ruzne aspekty ruznych utoku.

K castecnemu soubehu dochazi, ale jak jsem poznamenal v zaveru, chtelo by to asi jeste udelat vice ruznorodych testu, a rozsirit casovy zaber detekce (nemonitorovat jen okamzik pruniku, ale i naslednou cinnost hackera).