Hướng nghiên cứu tiếp theo

[GoogleCodeExporter]

Các hướng nghiên cứu tiếp theo:
-Các phương pháp visualize
-Phương pháp kết hợp các alert từ IDS (alert correlation)
-Các phương pháp matching
-Cấu trúc của attack tree (ngôn ngữ CAML hay ? )

Original issue reported on code.google.com by svic4ever@gmail.com on 26 Aug 2010 at 2:52

[GoogleCodeExporter]

Mọi người có thể đề xuất hướng nghiên cứu mới nếu thấy 
những cái trên ko đủ.
Về các pp kết hợp các alert từ IDS: xin lỗi là viết sai chỗ 
này (từ các data sources mới đúng). Hiện nay nhóm sử dụng 2 data 
src là Snort và Event Viewer của Windows. Làm thế nào để kết hợp 
các cảnh báo từ 2 cái này lại là hướng nghiên cứu của phần 
này. Ý mình là vậy.

Original comment by svic4ever@gmail.com on 26 Aug 2010 at 2:56

[GoogleCodeExporter]

tui chọn option 2

Original comment by lequocth...@gmail.com on 27 Aug 2010 at 2:28

[GoogleCodeExporter]

Theo tui thì cụ thể những cái mình cần tìm hiểu theo liệt kê 
của Thắng là zầy :
-Các phương pháp visualize : 
      +Xác định những yêu cầu cơ bản đối với việc mô hình hoá dữ liệu thuộc mảng network security này.
      +Các phương thức mô hình hoá hiệu quả được đánh giá cao hiện tại
-Alert corelation :
     +Xác định rõ được cấu trúc phần alert correlation gồm những phần nào , giao tiếp như thế nào , in out từng phần .<>
     +Hoàn thiện bước trên mới tính tới từng phần , cụ thể phần thấp nhất là lấy thông tin từ phía các data source<cách thức giao tiếp với IDS và Event Viewer,có một thắc mắc nhỏ ở đây : Event Viewer có thể lấy được thông tin đại loại như version OS hiện tại không ? hay chỉ bắt các event trong win <Kim giải thích zùm> ,trước mắt mình nghiên cứu 2 nguồn này nếu trong quá trình đặc tả lỗi thiếu nguồn cung cấp thông tin hợp lý thì bổ sung thêm >
-Các phương pháp matching:^^.
-Lựa chọn ngôn ngữ cho attack tree:^^.

Tình hình là lúc đầu vẫn nghĩ nên đi theo hướng hoàn thiện 
phần alert correlation trước tại nghĩ theo hướng đi từ gốc lên 
, nhưng xét lại , thì cái gốc không phải ở đó mà chính ở 
phần visual :ở giai đoạn hiện tại nghiên cứu visual tui nghĩ 
nên tập trung vào yêu cầu cơ bản của network security visualization 
, xác định cho được cần visual cái gì , mức độ chi tiết ra 
sao ... cho admin để lấy đó làm định hướng chú trọng trong 
việc xây dựng các phần dưới .

Original comment by yourfrie...@gmail.com on 28 Aug 2010 at 5:32

[GoogleCodeExporter]

Tớ chọn visualize. Nghiên cứu cái mới cho zui :D.
I recommend to use English here. Every comments in this project will be in 
English. What's your opinions?

Original comment by kimyumiko@gmail.com on 29 Aug 2010 at 3:05

[GoogleCodeExporter]

I agree with Kim. We should communicate in English. This is a good chance for 
us to pratice.
About the project: I think we should continue with the "alert correlation".  I 
have read some Visualization paper before and I think the visualization 
techiniques depend on what information we have. So, if we start with 
Visualization now, without knowledge about needed information from lower layer, 
we cannot choose the efficient technique.

Original comment by ntt.h...@gmail.com on 29 Aug 2010 at 1:07

[GoogleCodeExporter]

@Thi: you have read some Visualization paper , so is there any paper talk about 
Visualation standards ? 

If we continue with "alert correlation" we must know exactly what admin need 
<information about attack<details??> and what else ???> to ensure the usability 
of our software because as Thi mentions that visualization is base on what we 
have in the lower layer.

In this period , we don't need to know how to visualize but what we will 
visualize...

Original comment by yourfrie...@gmail.com on 29 Aug 2010 at 1:50

[GoogleCodeExporter]

Vấn đề nên dùng english hay ko thì tui nghĩ nên bàn ở Issue khác 
vì bàn ở đây sẽ loãng. Tui tạo issue mới rùi đó. Mọi người 
sang đó cho ý kiến.
Về vấn đề này thì chỉ có 2 đề xuất là Visualize với Alert 
Correlation nên chắc mình bàn về 2 cái này nữa thôi.
Tui nghĩ nên chọn Visualize vì mấy lí do sau:
-Nhiều hướng nghiên cứu.
-Nghiên cứu visualize để biết mình cần gì vì hiện giờ mình 
vẫn chưa biết được mình cần thông tin gì để hiển 
thị.Thông tin đó có thể data src chưa cung cấp nhưng nếu biết 
được cần gì mình có thể xem lại phần data src.
Về alert correlation thì mình thấy ko nên vì lí do sau:
-Hướng nghiên cứu chưa rõ ràng. Mình vẫn chưa xác định đc rõ 
ràng hướng này sẽ tìm hiểu về gì cũng như chưa có tài liệu 
để nghiên cứu. Nếu nghiên cứu ngay bây giờ thì chưa có paper 
để đọc.

@Tân: hiện giờ tui chưa đọc thấy cái nào về các tiêu chuẩn 
cho Visualize cả nhưng về tổng hợp và so sánh các phương pháp 
thì có.
@Kim: lí do vậy cũng nói :P

PS: vấn đề này giống như đang xác định cái nào là gốc cái 
nào là ngọn :|

Original comment by svic4ever@gmail.com on 29 Aug 2010 at 2:03

[GoogleCodeExporter]

Tui nghĩ cái gốc là phần mềm mình cung cấp chính xác những 
thông tin zì cho phía admin ,nếu được mình làm luôn một số 
tiêu chí của mình để có định hướng thực hiện những phần 
còn lại , có thể phần này tách biệt luôn với alert correlation 
và visualization ...

Original comment by yourfrie...@gmail.com on 31 Aug 2010 at 6:15

[GoogleCodeExporter]

Tui mới nghĩ ra 2 hướng nữa đó là
-Plan recognition
-Xác định hệ thống có lỗ hổng bảo mật nào
Mọi người nghĩ xem thế nào ?

Original comment by svic4ever@gmail.com on 2 Sep 2010 at 4:29

[GoogleCodeExporter]

Không biết ý Thắng cụ thể Plan recognition là làm zì , trước 
cũng nghĩ đến nó nhưng lại nghĩ nó bao hàm trong hai phần alert 
correlation với phần matching nên thôi .

Bên xác định hệ thống có lỗ hổng bảo mật nào cũng đúng , 
đó là nghiên cứu về bên Host-base IDS với Window log hem bít có 
đúng hok

Original comment by yourfrie...@gmail.com on 2 Sep 2010 at 4:59

[GoogleCodeExporter]

Về plan recognition mình đã nói lúc họp ở ktx rồi nhé. Nói lại 
là Plan regconition bao gồm cả matching và ontology deduction.

Kết thúc: chọn hướng tìm hiểu alert correlation.

Original comment by svic4ever@gmail.com on 3 Sep 2010 at 1:37

[GoogleCodeExporter]

Original comment by svic4ever@gmail.com on 9 Sep 2010 at 2:23

• Changed state: Done