Closed GoogleCodeExporter closed 9 years ago
Mọi người có thể đề xuất hướng nghiên cứu mới nếu thấy
những cái trên ko đủ.
Về các pp kết hợp các alert từ IDS: xin lỗi là viết sai chỗ
này (từ các data sources mới đúng). Hiện nay nhóm sử dụng 2 data
src là Snort và Event Viewer của Windows. Làm thế nào để kết hợp
các cảnh báo từ 2 cái này lại là hướng nghiên cứu của phần
này. Ý mình là vậy.
Original comment by svic4ever@gmail.com
on 26 Aug 2010 at 2:56
tui chọn option 2
Original comment by lequocth...@gmail.com
on 27 Aug 2010 at 2:28
Theo tui thì cụ thể những cái mình cần tìm hiểu theo liệt kê
của Thắng là zầy :
-Các phương pháp visualize :
+Xác định những yêu cầu cơ bản đối với việc mô hình hoá dữ liệu thuộc mảng network security này.
+Các phương thức mô hình hoá hiệu quả được đánh giá cao hiện tại
-Alert corelation :
+Xác định rõ được cấu trúc phần alert correlation gồm những phần nào , giao tiếp như thế nào , in out từng phần .<>
+Hoàn thiện bước trên mới tính tới từng phần , cụ thể phần thấp nhất là lấy thông tin từ phía các data source<cách thức giao tiếp với IDS và Event Viewer,có một thắc mắc nhỏ ở đây : Event Viewer có thể lấy được thông tin đại loại như version OS hiện tại không ? hay chỉ bắt các event trong win <Kim giải thích zùm> ,trước mắt mình nghiên cứu 2 nguồn này nếu trong quá trình đặc tả lỗi thiếu nguồn cung cấp thông tin hợp lý thì bổ sung thêm >
-Các phương pháp matching:^^.
-Lựa chọn ngôn ngữ cho attack tree:^^.
Tình hình là lúc đầu vẫn nghĩ nên đi theo hướng hoàn thiện
phần alert correlation trước tại nghĩ theo hướng đi từ gốc lên
, nhưng xét lại , thì cái gốc không phải ở đó mà chính ở
phần visual :ở giai đoạn hiện tại nghiên cứu visual tui nghĩ
nên tập trung vào yêu cầu cơ bản của network security visualization
, xác định cho được cần visual cái gì , mức độ chi tiết ra
sao ... cho admin để lấy đó làm định hướng chú trọng trong
việc xây dựng các phần dưới .
Original comment by yourfrie...@gmail.com
on 28 Aug 2010 at 5:32
Tớ chọn visualize. Nghiên cứu cái mới cho zui :D.
I recommend to use English here. Every comments in this project will be in
English. What's your opinions?
Original comment by kimyumiko@gmail.com
on 29 Aug 2010 at 3:05
I agree with Kim. We should communicate in English. This is a good chance for
us to pratice.
About the project: I think we should continue with the "alert correlation". I
have read some Visualization paper before and I think the visualization
techiniques depend on what information we have. So, if we start with
Visualization now, without knowledge about needed information from lower layer,
we cannot choose the efficient technique.
Original comment by ntt.h...@gmail.com
on 29 Aug 2010 at 1:07
@Thi: you have read some Visualization paper , so is there any paper talk about
Visualation standards ?
If we continue with "alert correlation" we must know exactly what admin need
<information about attack<details??> and what else ???> to ensure the usability
of our software because as Thi mentions that visualization is base on what we
have in the lower layer.
In this period , we don't need to know how to visualize but what we will
visualize...
Original comment by yourfrie...@gmail.com
on 29 Aug 2010 at 1:50
Vấn đề nên dùng english hay ko thì tui nghĩ nên bàn ở Issue khác
vì bàn ở đây sẽ loãng. Tui tạo issue mới rùi đó. Mọi người
sang đó cho ý kiến.
Về vấn đề này thì chỉ có 2 đề xuất là Visualize với Alert
Correlation nên chắc mình bàn về 2 cái này nữa thôi.
Tui nghĩ nên chọn Visualize vì mấy lí do sau:
-Nhiều hướng nghiên cứu.
-Nghiên cứu visualize để biết mình cần gì vì hiện giờ mình
vẫn chưa biết được mình cần thông tin gì để hiển
thị.Thông tin đó có thể data src chưa cung cấp nhưng nếu biết
được cần gì mình có thể xem lại phần data src.
Về alert correlation thì mình thấy ko nên vì lí do sau:
-Hướng nghiên cứu chưa rõ ràng. Mình vẫn chưa xác định đc rõ
ràng hướng này sẽ tìm hiểu về gì cũng như chưa có tài liệu
để nghiên cứu. Nếu nghiên cứu ngay bây giờ thì chưa có paper
để đọc.
@Tân: hiện giờ tui chưa đọc thấy cái nào về các tiêu chuẩn
cho Visualize cả nhưng về tổng hợp và so sánh các phương pháp
thì có.
@Kim: lí do vậy cũng nói :P
PS: vấn đề này giống như đang xác định cái nào là gốc cái
nào là ngọn :|
Original comment by svic4ever@gmail.com
on 29 Aug 2010 at 2:03
Tui nghĩ cái gốc là phần mềm mình cung cấp chính xác những
thông tin zì cho phía admin ,nếu được mình làm luôn một số
tiêu chí của mình để có định hướng thực hiện những phần
còn lại , có thể phần này tách biệt luôn với alert correlation
và visualization ...
Original comment by yourfrie...@gmail.com
on 31 Aug 2010 at 6:15
Tui mới nghĩ ra 2 hướng nữa đó là
-Plan recognition
-Xác định hệ thống có lỗ hổng bảo mật nào
Mọi người nghĩ xem thế nào ?
Original comment by svic4ever@gmail.com
on 2 Sep 2010 at 4:29
Không biết ý Thắng cụ thể Plan recognition là làm zì , trước
cũng nghĩ đến nó nhưng lại nghĩ nó bao hàm trong hai phần alert
correlation với phần matching nên thôi .
Bên xác định hệ thống có lỗ hổng bảo mật nào cũng đúng ,
đó là nghiên cứu về bên Host-base IDS với Window log hem bít có
đúng hok
Original comment by yourfrie...@gmail.com
on 2 Sep 2010 at 4:59
Về plan recognition mình đã nói lúc họp ở ktx rồi nhé. Nói lại
là Plan regconition bao gồm cả matching và ontology deduction.
Kết thúc: chọn hướng tìm hiểu alert correlation.
Original comment by svic4ever@gmail.com
on 3 Sep 2010 at 1:37
Original comment by svic4ever@gmail.com
on 9 Sep 2010 at 2:23
Original issue reported on code.google.com by
svic4ever@gmail.com
on 26 Aug 2010 at 2:52