前辈们好~^^
目前学习IDS一阵子了(工具为Snort)
才发现之前在网络上看到 "IDS是需要经验的" 这句话是真的...
像目前撷取到一些侦测到的资料
虽然数目不大...但是不知道要怎么下手
不知道怎么 "归纳出有用的分析资料"
现在只会把资料捞出
先看一下有没有高危险的alert
再把这个ip的资料捞出来看一看
不过看完后 也完全不知道要做什么.....
所以想请问各位前辈~ IDS可不可以结合资料探勘技术
然后配合这自动化整合出来的资料 再去做一些动作呢
==========================================================
* 整理一下我的疑问XD
(1) IDS怎么结合资料探勘? : 因为我觉得似乎哪里可以用到
不过搜寻了一些资料探勘实用的案例...还是想不出来如何用在IDS撷取到的资讯
(2) 用以上的方式分析出来的资料 能做那些动作呢 : 我只能想到若判定为高危险度
的ip, 则加入rule 纪录这个ip的所有封包
麻烦前辈们分享你们的经验~~~谢谢~~~~