home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 920519-01 < prev    next >
Encoding:
Internet Message Format  |  1992-06-04  |  2.1 KB
  1. From: wetmore@toadflax.UCDavis.EDU (Brad)
  2. Newsgroups: alt.security
  3. Subject: Re: Smart Auditing (was: Auditing on C2..)
  4. Message-ID: <13442@ucdavis.ucdavis.edu>
  5. Date: 19 May 92 05:19:33 GMT
  6. References: <1992May18.155507.16050@sctc.com> <20790@rpp386.lonestar.org> <1992May12.121840.16789@usenet.ins.cwru.edu> <1992May12.134953.23311@pony.Ingres.COM>
  7. Reply-To: wetmore@cs.ucdavis.edu
  8. Organization: UC Davis - Department of Computer Science
  9.  
  10. In article <1992May18.155507.16050@sctc.com>, smith@sctc.com (Rick
  11. Smith) writes:
  12. > Various posts on auditing have commented about the wonders of information
  13. > overload. I've read various things about statistical audit reduction
  14. > research and intrustion detection expert systems and such. Has anyone
  15. > had any experience with one of these?
  16.  
  17. Experience, as in actual hands on systems, or knowledge of them?  I'm
  18. working on the UCDavis DIDS (Distributed Intrusion Detection System)
  19. project, so I guess I can say I've had some "experience."  However, I
  20. could give you a few pointers to the "current state of the art" if you
  21. would like.
  22.  
  23. Most current IDS (Intrusion Detection Systems) come in two flavors,
  24. (I'm generalizing here, of course.)  There are the statistical methods,
  25. which try to determine characteristics of a normal user, and then look
  26. for deviations from that.  (A common buzzword is "anomaly detection.")
  27. Haystack Laboratories "Haystack" and SRI's "IDES" are two such
  28. examples.  The second flavor are the Expert System (or Rule Based).
  29. These take known attacks and scan audit trails for symptoms of those
  30. attacks.  (i.e.  a write to someone's .login file, followed by that
  31. someone's login.  Might be indicative of a trojan horse program.)
  32. Wisdom and Sense and parts of DIDS are examples of such programs.
  33.  
  34. I have some references, if you would like them.
  35.  
  36. Brad
  37.  
  38.    /
  39. O /                         Steal here.
  40.  X ----------------------------------------------------------------
  41. O \     Brad Wetmore:                 wetmore@toadflax.cs.ucdavis.edu
  42.    \    Help!!!  I've been robbed.  Someone stole my .sig, and sold 
  43.     it back at the UCD used .sigstore.
  44.  
  45.