Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1618 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

using snort as Anamoly Based IDS

bilal_jan
Hello everyone
I am doing my final year project in wh i have to configure snort to work as a  anamoly based IDS for wireless Ad-hoc networks.
I am struck at a point and i cant go further unless i solved this problem.
The qurey is that i have made snort to log packets to MS SQL server 2005 and i want to use "statistical anomaly detection technique" in which i have to draw a baseline behaviour and traffic that deviats from this normal behaiour will be declared as anamoly.
i am struck with this i dont know how to begin with.i am using SNORT IDS to track anamolies.
can anyoe please tell me how to use SNORT to work like this.
My instructor has referred me to this forum, as our university is using astaro firewall and astaro is using SNORT so i am hopeful here.
Best regards
Ahmed Bilal Jan


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    My instructor has referred me to this forum, as our university is using astaro firewall and astaro is using SNORT so i am hopeful here

    I love instructors these days. Your final year project and get free help from people who are using a firewall that maybe uses snort? Does he know astaro is a linux firewall and not windows?

    I think you will be better served by going to snort.org. There are a few articles with snort on redhat with mysql ( I use redhat so didn't sound too hard). You might be able to get some idea on what to do looking at those scripts. It is not going to be easy though rewriting the scripts and making MS sql do the same stuff. VB is your friend though. Good luck.
  • 0 in reply to Billybob
    Thanks, Billybob - good suggestions.  bilal_jan, one of the other mods posted this last year: How To Ask Questions The Smart Way.
  • 0 in reply to BAlfson
    i would re-write my query...
    i am looking to know how to statistically analyze link level data that i have captured using SNORT. 
    i know snort cant do that for me.i have to build a model and i dont know how to start with.
    snort is traditionally used with Linux and alot of support for its linux usage is available, but unforunately for windows there wasnt mush support present.
    so far i was able to make SNORT to capture packets from the wireless LAN card in the RFMODE, SNORT didnt do that easily though.
    Billybob i went to snort.org forums but there not many people visit frequently and thread remained unanswered till yet.
    i am looking here not for anyone to write me scripts,not to write any code though. i am just struck at a point and need just a direction.   
    hope that query works!!!
  • 0 in reply to bilal_jan
    Your question is still too general, and, if you have read the document I linked to, you will understand that that's the reason for no response at snort.org.

    What are you looking for in your statistical analysis?

    What phenomenon will indicate that you have discovered what you are looking for?

    Are you considering Bayesian analysis?

    Maybe you can start by pretending that you have finished everything: write a one-paragraph summary conclusion.

    Cheers - Bob