· metoda “data mining ... versionit 1.0). lejon snort tё analizojё , duke u mbёshtetur nё...
TRANSCRIPT
![Page 1: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/1.jpg)
UNIVERSITETI POLITEKNIK I TIRANËSFAKULTETI I TEKNOLOGJISË SË INFORMACIONIT
DEPARTAMENTI I ELEKTRONIKËS DHE INFORMACIONIT
“Doktor”
Në “Teknologjinë e Informacionit dhe Komunikimit”
![Page 2: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/2.jpg)
_______________________, Anëtar Jurisë së Disertacionit të Doktoratës
_______________________, Anëtar Jurisë së Disertacionit të Doktoratës
_______________________, Anëtar Jurisë së Disertacionit të Doktoratës
_______________________, Anëtar Jurisë së Disertacionit të Doktoratës
______________________ Kryetari i Jurisë së Disertacionit të Doktoratës
I pranuar nga
______________________________, Dekan, Fakulteti i Teknologjisë së Informacionit
![Page 3: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/3.jpg)
iii
![Page 4: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/4.jpg)
iv
![Page 5: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/5.jpg)
v
ANALIZA DHE PROJEKTIMI I SISTEMIT Ad-IDS..................................................47
![Page 6: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/6.jpg)
vi
![Page 7: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/7.jpg)
vii
![Page 8: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/8.jpg)
![Page 9: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/9.jpg)
![Page 10: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/10.jpg)
![Page 11: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/11.jpg)
“rise” defense techniques for
mechanisms that will improve the algorithm’s performance. The aim is to overcome
![Page 12: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/12.jpg)
detection capability, on the system’s performance (pro
![Page 13: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/13.jpg)
![Page 14: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/14.jpg)
![Page 15: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/15.jpg)
![Page 16: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/16.jpg)
mënyrën se si “hakerat” munden të fitojnë akses.
“Data breaches” (sulmi dhe marrja e të dhënave) është ende një çështje e
“threati” X zbulon një dobësi të një sistemi; në mënyrën se si dobësia Y është përdorurnga këto “threate” në këto sulme.
Mund ta quajmë vitin 2014 si vitin serioz të “hyrjes” në cloud dhrëndësishme në mendjen e njerëzeve është ajo e “thyerjes” së sigurisë së Apple iCloud,ku një numër i fotove të njerëzve të famshëm u “hakuan” dhe u shpërndanë online. Dhe
![Page 17: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/17.jpg)
–
875milion $ ndërkohë procesi i “recovery” arrin në 8.5bilion $. Studimet
lartë “profesional”dominuan titujt e gazetave dhe edicione
![Page 18: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/18.jpg)
propozim për një direktivë në “Network and information security” (NIS), i cili do t’i
bashkëpunojë dhe të shkëmbejë informacion me një rrjet të dedikuar dhe t’i kërkojë
me skemën e çertifikimit vullnetar në fushën e “cloud computing”.
e produkteve ICT dhe ofruesit e shërbimeve duke përfshirë ofruesit “cloud” dh
![Page 19: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/19.jpg)
“Komisioni do të hart
botohet në fletoren Zyrtare te Bashikimit Europian”.
![Page 20: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/20.jpg)
mekanizmi “fast track”.
![Page 21: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/21.jpg)
varet, në mënyrë eksplicite, nga mënyra se si paraprocesohet dhe “shërbehet” në motorine detektimit të IDS, informacioni i përvetësuar mbi sulmin. Një set modelesh “të mirëhartuara” e “të mirërzgjedhura” mundëson një shkallë të lartë saktësie të sistemeve
![Page 22: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/22.jpg)
Metoda e bazuar në “vulën e sulmit” (Signature based
përdoren për të krijuar një “vulë” (signature) të
“thithësi” i paketave (packet sniffing mode); që bën të mundur monitorimin dheshfaqjen e paketave të trafikut të rrjetit; “rregjistruesi” i paketave (
![Page 23: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/23.jpg)
gjuhën e tij specifike, e ashtuquajtur “ncode”, për gjenerimit e modeleve dhe
tyre në kushte të domosdoshme për t’u përdorur
![Page 24: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/24.jpg)
“AT&T’s ComputerWatch”
![Page 25: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/25.jpg)
një varg veprimesh nga ana e “agresorit” me qëllim depërtimin në të, ai mund të
![Page 26: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/26.jpg)
Metoda “Data mining” “data mining” për detektimin e
aplikuan disa teknika “data mining” si rregulli i shoqërimit
evidentohen sjellje të cilat paraqesin “devijim” nga “sjellja normale” e sistemit,
![Page 27: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/27.jpg)
“Qiao et al.”
Metoda “Machine Learning” Metoda “machine learning”
ndërthurur me “data mining” për rezultate më të mira të
![Page 28: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/28.jpg)
“Ghosh et al” tre algoritme të tipit “machine learning” për
“Fox et al.”
simeve në skedarin “Help”, disqet e ndryshëm të aksesuar
“Mohajerani et al”
“fuzzy” për çdo tip sulmi të përcaktuar nga administratori
“Abouzakhar et al.”
![Page 29: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/29.jpg)
“Chavan et al”
plotësuar bazën e të dhënave të Snort. Këto modele “signatures” u zhvilluanduke analizuar protokollet e rrjetit dhe “t” duke u bazuar n
drejtim të “data mining”, për mbrojt
Teknika “Outlierbased Data Mining” Detektimi “outlier” është një nga përhapura të “data mining”, të përdorura në fushën e kërkimit të
sasia tjetër e të dhënave, si të dhëna “outlier”. Në shpërndarjen statistikore, të
![Page 30: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/30.jpg)
“Ramaswamy et al.” algoritmash efektive për teknikën “outlier mining”, në sasi të madhe të d
bazë të ketij rezultati dhe është detyrë e ekspertëve të rrjetit t’i etiketojnë këto të
![Page 31: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/31.jpg)
•
“skuadre” (white hat –
•
•
![Page 32: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/32.jpg)
sistem të ri të detektimit të ndërhyrjeve, të quajtur “Advance IDS” (Ad
![Page 33: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/33.jpg)
–
–
rbimit, “Mbirrjedhja” e buferit,Symlink, ndryshimi i “sjelljes” (anomaly).
–
–
KAPITULLI 2 – KARAKTERISTIKAT KRYESORE TË SISTEMEVETË DETEKTIMIT TË NDËRHYRJEVE
![Page 34: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/34.jpg)
![Page 35: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/35.jpg)
ёshtё njё program “opensource”, qё pёrdoret si sistem dedektimi tёndёrhyrjeve ( Snort ёshtё zhvilluar nga Martin Roesch,themelues i Sourcefire Inc, nё Maryland. Snort i ka fillesat nё vitet 19981999, por nёkёtё kohё ai ishte njё program, i cili funksiononte shumё thjeshtё dhe nuk kishte njёeficensё si njё sistem dedektimi tё ndёrhyrjeve. Pavarsisht problemeve dhe vёshtёrsivetё fillimit, Snort u zhvillua si njё program pёr tё kryer funksionin e njё sistemi dedektimitё ndёrhyrjeve. Nё vitin 1999 ishte i vlefshёm versioni 0.98, ndёrsa versioni 1.0 u hodhnё treg nё 4/28/99. Por, versioni i parё i qёndrueshёm me karakteristikat e njё IDS uё 4/6/2003. Ky program ka patur njё zhvillim tё madh dheё shpejtё dhe versionet mё tё fundit qё janё implementuar janё versioni 2.4.5. dhe sё
ё cilёn pёrdor Snort ёshtё teknika e detektimit tёndёrfutjeve (misuse detection). Kjo do tё thotё se ai mbёshtetet nё njё bashkёsi , e cila ёshtё pёrkufizuar mё parё mund tё njohё apo tёektojё sulme tё reja tё pakonfiguruara. Fatkeqёsisht, Snort nuk ka aftёsi tё de ektojёёrhyrje tё reja.
ёёnyrat e operimit tё Snort jepen si mё poshtё:
“Thithёsi” i paketave (Packet Sniffer Mode) (Interneti) dhe mё pas i shfaq nё formёn e njё “i” tё vazhdueshёm. Pra, nёkёtё mёnyrё thjesht “printon” tё gjitha paketat qё merr nga libraria libpcap nё njёdritare. Kjo, ka qenё trajta fillestare e krijimit dhe operimit tё Snort.
: printon header TCP/IP nё ekran.
![Page 36: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/36.jpg)
printon tё dhёnat e aplikacionit.
: printon pёrmbajtjen e shtresёs sё dalalin
“Rregjistruesi” i paketave (Packet Logger Mode); rregjistron paketat nё disk.Pra, “logon” gjithё trafikun tek njё file tё dhёnё.
ruan paketat nё direktoritё e specifikuara.
b: “Binary logs” Dosjet qё kanё pёrmbajtje
ё Ndёrhyrjeve (IDS Mode) gjёndja mё normale efunksionimit tё Snort; funksioni i krijimit tё tij (i pёrcaktuar nё ’99 me krijimin eversionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nёbashkёsinё e rregullave
ё Ndёrhyrjeve (IPS Mode . Mё pas kёto paketa i bёn nё varёsi tё tipeve tё rregullave specifikё ( drop, reject, sdrop etj). ё e funksionimit tё Snort ёshtё ende nё fazё eksperimentale dhe nukmund tё shprehemi se Snort ёshtё njё IPS i mirёfilltё. (Sistemet IPS paraqesinnjё fushё tё kёrkimit shkencor nё zhvillim e sipёr)
Figura e mёposhtme, paraqet arkitekturёn e Snort.
![Page 37: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/37.jpg)
Snort janё :
Baza e tё dhёnave
“Rule set” (bashkёsia e rregullave)
Nё mёnyrё mё tё detajuar ё jepen si mё poshtё:
ёshtё njёsoftuer (por mund tё jetё edhe paisje harduer), e cila pёrdoret pёr tё kapur paketat nёrrjet. Pёr tё realizuar kёtё funksion, Snort pёrdor librarinё libpcap. “Kapёsi ” i paketavei) pёrdoret pёr:
Analizёn e trafikut tё rrjetit
Analizёn e performancёs dhe ndёrtimin e kampioneve
Pёrgjimi pёr tekste fjalё kyё dhёna tё tjera “sensitive”
Ndёrfaqet e rrjetit ku mund tё pёrdoret, mund tё jenё Ethernet, SLIP, PPP etj.
Nё fillimet e Snort, kjo komponente e tij luante rol kryesor duke qenё sefunksioni kryesor i tij ishte pikёrisht “kapja” dhe analizimi i trafikut tё rrjetit.
(Preprocesser). Procesorёt janё shumё tё rёndёsishёm pёr njёIDS, pasi pёrgatisin paketat qё do tё analizohen mё pas nga motori dedektimit.Funksioni i kёtij komponenti ёshtё modifikimi ose rregullimi i tё dhёnave tё paketavepёrpara se ato tё kalojnё nё motorin e dedektimit. Snort pёrmban dy tipe procesuesish:
![Page 38: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/38.jpg)
ёs
ё gjendjes kontrollon paketat pёr protokollet qё atopёrdorin dhe funksionet e tyre ( psh. RPC, HTTP apo portscanner). Ndёrsa procesuesi iriasemblimit tё streamёs, merret me pёrcaktimin e paketave tё cilat i pёrkasin tё njёjtёsstream. Ky procesues ёshtё shumё i rёndёsishёm sepse njё nga sulmet mё tё njohura sot mё tё aplikuara ёshtё ai i Fragmentimit tё paketave. F kur njё sasi e madhe tё dhёnash transferohet nё njё host, atёherё paketa fragmentohet nёnjёsi mё tё vogla, nё pёrputhje me formatin e ndёrfaqes sё rrjetit. Mё pas destinaciduhet tё bёjё riasemblimin e kёtyre njёsive nё paketёn origjinale. Sulmi konsiston nёpёrdorimin e fragementeve pёr tё fshehur etiketat nё njёsi mё tё vogla, nё mёnyrё qё tёmashtrojnё IDS me lehtёsi. Megjithatё Snort ёshtё njё IDS, e cila e realizon shumё mirёdetektimin e kёtij sulmi, pikёrisht nё sajё tё funksionit tё kёtij procesuesi.
(Detection engine), ёshtё pjesa mё kryesore nё IDSdhe njёkohёsisht pjesa mё kritike e Snort nё lidhje me parametrin kohё, i cili varet nga:
Arkitektura e makinёs mbi tё cilёn po ekzekutohet
Ai merr tё dhёnat nga procesori dhe i kontrollon mbi bazёn e njё bashkёsie . Nёse rregullat pёrputhen me tё dhёnat nё paketё atёherё atogjenerojnё njё Kёto rregulla grupohen sipas kategorive: Trojan, worm, viruse,mbirrjedhja e buferit, aksesi nё aplikacione tё ndryshme etj.
(Output engine ose Alert Generation) Nёse tёdhёnat qё vijnё nga procesori pёrputhen me njё nga rregullat nё makinёn e dedektimitatёherё gjenerohet njё alarm. Kёto alarme mund tё dёrgohen nё njё file nёpёrmjet njёlidhjeje me Internetin ose mesazheve SNMP traps. Gjithashtu, alarmet mund tё ruhen nёnjё database tё tipit MySQL dhe Postgres (baza tё dhёnash falas). Alarmet nё bazёn e tёdhёnave dёrgohen nёpёrmjet protokolleve SNMP . Njё formё tjetёr pёr tё dёrguaralarmet ёshtё email, pёr tё lajmёruar njё administrator sistemi nё kohё reale. Nё kёtёmёnyrё shmanget nevoja pёr tё monitoruar gjatё gjithё kohёs rrjetin.
![Page 39: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/39.jpg)
Baza e tё dhёnave ёё ё ё ё ёё ёё “Falas” (dhe mund tё ё ёnash gjithashtu “Falas” si
“Rule set” ёё ёё ё ё ё ёё ёё ё ё Aktiviteti i ndёrhyrёsve shoqёrohet me“gjurmё” qё nё gjuhёn e Snort njihen si modele tё sulmit “attack patterns”Snort ngrihen mbi bazёn e kёtyre “patterns”.
Nё inicializim, Snort lexon t ёstrukturatё dhёnash tё vea nё memorjen kryesore. Tё gjitha rregullat e Snort duhentё shkruhen nё njё rresht tё vetёm. Me anёn e karakterit ’’ nё fund tё rreshtit, kalohet nёnjё rresht t
Sintaksa e rregullave tё Snort ёshtё e mirёёrbёhet ngaesё:
Shembull i njё Snort rule
ёshtё njё pёrkufizim statik qё duhet tёjetё i pranishёm nё ёё ё paketat e kapuraё ё. Njё ёrbёh ё
ё ё ё ё ёshtё alert ё
ё ё ё rastin efig, ёshtё tcp
![Page 40: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/40.jpg)
ё rastin e fig. ёshtё any, qё do tё thotё
ёё rastin e fig, any
:’’=>’’ ose ‘’ <>” operatori shigjetё ё ёё ё ёё, ё ёё ёё ё. Operatori”<>”, i tregon Snort qё ё ё ё dy
ё rastin e fig. ёshtё
ё rastin e fig. ёshtё
ёshtё njё pёrkufizim varibёl dhe jogjithmonё i pranishёm. Snort, ka mё shumё se 50 opsione tё vlefshme pёr njё rregull, tёcilat shёrbejnё pёr funksione tё ndryshme.
Opsionet e rregullit mund t’ju referohen fushave të protokolleve ose protokolleve
Përcakton se çfarë përmbajtje duhet të ketë paketa’’keqdashëse’’ për të trigeruar
konsiston në permbajtje binare, kjo përmbajtje duhet të shkruhet mes simboleve (‘’|’’) në
![Page 41: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/41.jpg)
“/etc/passwd’’.
“skanoj”
ërcakton se nga cila pjesë e paketës duhet të nisë “skanimin” e
rcakton “skanim” t
![Page 42: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/42.jpg)
bëhen “drop”
![Page 43: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/43.jpg)
përballimin e sulmeve ndaj rrjetit, duke përdorur një qasje “të bazuar në ngjarje” (event
2.2.2 Mёnyra e operimit
Mёnyra e operimit tё Bro konsiston nё pёrcaktimin e ngjarjeve normale tё sitemitdhe ndёrveprimin me administratorin i cili jep miratimin pёrfundimtar mbi definiminfinal tё njё sjellje normale (e cila bёhet nё shtresёn e politikave
![Page 44: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/44.jpg)
ngjarjeve “event engine”
ria me “historikun e sjelljes”.
![Page 45: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/45.jpg)
Interpretuesi ose Shtresa e politikave (Policy layer), interpreton “sjelljen”, apo
![Page 46: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/46.jpg)
![Page 47: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/47.jpg)
Snort IDS (duke qenë se është “open source”). Gjithashtu setSnort (të cilat janë të tipit “të detektimit të ndërfutjes”), do t’i shtohen edhe testet e B IDS (të cilat janë teste të tipit “të detektimit të anomalive”). Përveç set
me këtë emërtim “teste shtesë”), të cilat ne mendojmë se do të përmirëso IDS, duke parashikuar disa raste të veçanta të historikut të “sjelljes”
sen “përballë”
![Page 48: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/48.jpg)
•
•
•
•
“FALSE” janë ata mëproblematikët, ndërsa alarmet “TRUE” janë alarme të cilët duhet të gjenerohen.
•
•
•
(“pattern”) i tij dhe i shtohet Bazës së të dhënave i testeve mbi “sjelljen” e procesit, Ad
![Page 49: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/49.jpg)
•
•
”pikë”
•
•
t në “ciklin e jetës” së krijimit të një softueri, është mjaft e
![Page 50: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/50.jpg)
![Page 51: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/51.jpg)
Moduli kryesor;
![Page 52: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/52.jpg)
rastin kur procesi konsiderohet “i rrezikshëm”, pra atëhere ku është kaluar niveli
vlerave të “kapura” nga procesi pas përfundimit të testit), si dhe parametrin TTL (Time
imituar. Psh. Informacioni ”procesi ishte dukeekzekutuar një program SUID 4 javë më parë”, nuk ka vlerë. Kjo është dhe arsyeja e
![Page 53: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/53.jpg)
jë “devijim” nga ky historik, atëhere në bazë të testeve të mbështetura në algoritmine detektimit të anomalive, ky “devijim” detektohet si një ndërhyrje. Prandaj “kapja” e
Pjesa e “kapjes” së thirrjeve të sistemit, është pjesë e modulit kryesor. Historiku i
3.4.3 Manaxhimi i ”fork( )s”
është një “sistem call”, e cila implementohet në kernel. Kjo metodë krijon një proces
Arsyeja e implementimit të fork() është për të mundësuar vetinë e “multitasking” për
“klone” për të ekzekutuar programe
![Page 54: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/54.jpg)
Mund të ndodhë që një proces “malicios” mund të bëjë fork() dhe në këtë
–
procese fëmijë nga ana e tij), duke mënjanuar gjenerimin e raporteve “tëamerituara” për procesin prind.
gjeneruar alarme të tipit “false positive”. Alarmet e tipit “false positive”, kategorizohenrinë “Aktivitet i Dyshimtë”(në këtë rast aktiviteti legjitim i procesit mund të
![Page 55: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/55.jpg)
konsiderohet si një sulm i mohimit të shërbimit “denial of service”). Për të zgjidhur këtëçështje (pra duke ulur në këtë mënyrë alarmet e tipit “false posistive”), ne propozo
– –
tre sulme tipike: “mbirrjedhja” e buferit (buffer overflow) dhe sulmet ”symlink”
![Page 56: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/56.jpg)
“Mbirrjedhja” e buferit exploit
Tabela 3.2 Exploiti i “Mbirrjedhja” e buferit
Tabela 3.3 Exploiti i “symbolic link”
“” “”
i tipit “Local root exploit”.
![Page 57: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/57.jpg)
“”
Sulmet “buffer overflow” jane tipikë për programet e shkruara në gjuhën C. Ky
Procesi ekzekuton një “interactiv shell”. Nj “interactiv shell”,
”symlink”
i përbën një ”symlink”, procesi i dytë (i ekzekutuar nga një sulmues)mund të krijojë një ”symlink” duke bërë që file
![Page 58: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/58.jpg)
Procesi i ekzekutuar si “nonroot” kt “root”;
Procesi që është duke u ekzekutuar si “root”, hap link
“”
![Page 59: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/59.jpg)
“historik”, përfaqëson një sjellje normale të procesit. Nqs një proces paraqetimplementimin e thirrjeve të tjera, jashtë këtij “historiku”, kjo paraqet një ndërhyrje e
kontrollon për një “patern” të veçantë të ndërhyrjes.
shtuam dhe disa teste “shtesë”
grupin “wheel” (GID =0 Group ID)
testet e përcaktuara. Nëpërmjet testeve shtesë, ne synojmë që këto procese t’i
“të fituara” nga
”Vret” procesin, duke përfshirë fëmijët e tij
![Page 60: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/60.jpg)
Në fazën e implementimit kemi realizuar “ngarkimin” e sistemit Ad
Shumica e “exploits” të sulmeve janë të krijuara për UNIX (duke qenë se
duhet të “montohet” (i bëhet “mount”
![Page 61: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/61.jpg)
“”
sistemit, sepse kerneli i cili luan rolin e “manaxhuesit” të thirrjeve të sistemit (syscalls),imponon ekzekutimin e kodeve të modulit IDS, të cilët tashmë janë “ngarkuar”.
![Page 62: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/62.jpg)
# parametrat sysctl te testeve te “sjelljes” se proceseve
![Page 63: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/63.jpg)
“kapja” e th
Modulit IDS i bëhet “shut down”
“Kapja” e thirrjeve të sistemit syscalls [
Me “kapjen” e thirrjeve të sistemit, nënkuptojmë evidentimin e herëve dhe PID
thirrjeve të sistemit është funksioni “universal” my_syscalls(), i cili “kap” të gjitha
gjitha syscalls të “kapura”, mbahen në një bazë të dhënash të quajtur syscall_db. Kjo
![Page 64: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/64.jpg)
tuar. (kjo përfaqëson atë që ne e quajmë “historia e sjelljes” së një procesi).
![Page 65: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/65.jpg)
e bazuara tek “sjellja” e procesit).
ksion ka për detyrë të “lokalizojë” procesin në
![Page 66: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/66.jpg)
Testet bazuar tek “sjellja” e procesit [Shtojca A2.2]
në bazën e të dhënave. Numri i “mospërshtatjeve” me database
–
![Page 67: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/67.jpg)
për të ekzekutuar një”symlink” në një direktori
![Page 68: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/68.jpg)
t’i bëjë kill() këtij procesi...KUJDES!!! jo close() ose
Për proceset të cilët paraqesin një aktivitet “të Dyshimtë”, është përcaktuar që
Në momentin kur një proces është përcaktuar si “i Rrezikshëm”, atëhere sistemitIDS në mënyrë automatike e asgjeson ose e“vret” këtë proces duke implementuar
![Page 69: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/69.jpg)
minimumi i pikëve të procesit për t’u aktivizuar njoftimi me email.
“”
: Ndryshimi i “sjelljes”
”pikë”.
ë përfundim të të gjitha testeve, procesi ka një shumatore të të gjitha pikëve “tëfituara”. Kjo shumatore llogaritet si më poshtë
![Page 70: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/70.jpg)
“të sjelljes” së Ad
proces “e kalon” testin në rastin kur ai nuk është duke ekzekutuar ndonjë nga
![Page 71: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/71.jpg)
–
lematikë. Ekzistojnë disa kritere, të cilat kanë mundësi të na rrisin “piket” e
![Page 72: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/72.jpg)
lmi i Mohimit të shërbimit është një “forkmebomb” (fork memory bomb), i
nga këta procese dhe si rrjedhim proceset “legjitime” e kanë të pamundur
“proces dump”.
–
![Page 73: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/73.jpg)
a.out (sulmi i kompiluar), e kemi “hedhur” në file
![Page 74: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/74.jpg)
![Page 75: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/75.jpg)
–
![Page 76: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/76.jpg)
–
sistemi gjeneron mesazhin “core dump”.
![Page 77: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/77.jpg)
![Page 78: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/78.jpg)
Ky exploit është i tipit “local root”. Komandat për të
r <RET>: kjo komandë nuk është “bruteforce”; duke ekzekutuar
kthimin e një adrese të memorje ku po bëhet “mbirrjedhja”
in si “bruteforce”, duke e
* “mbirrjedhja”.
![Page 79: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/79.jpg)
“bruteforce”, duke e detyruar të ekzekutohet me çdo kusht, si dhe nakthen adresën e parë të memorjes ku ndodh “mbirrjedhja” <STARTING_RET>
Ekzekutimi i këtij sulmi e kam realizuar si “bruteforce attack”, e cila na kthen undit të memorjes ku ndodh “mbirrjedhja”. Ekzekutimi i tij jepet si më
– – ndodh “mbirrjedhja”.
![Page 80: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/80.jpg)
it, shohim se adresa e fundit ku ndodh “mbirrjedhja”
![Page 81: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/81.jpg)
Tabela 4.2 Rezultatet nga testi “Mbirrjedhja” e buferit
![Page 82: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/82.jpg)
Exploiti krijon një proces terminatorX me PID 6760, i cili realizon “mbirrjedhjene buferit” (adresa e fundit është
![Page 83: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/83.jpg)
![Page 84: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/84.jpg)
“symbolic link” me një direktori të dyshimtë, siç është direktoria nologin/.
![Page 85: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/85.jpg)
![Page 86: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/86.jpg)
![Page 87: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/87.jpg)
![Page 88: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/88.jpg)
Ndryshimi i “sjelljes”Në këtë test, kemi trajtuar një proces, historikun e “sjelljes” së tij e kemi të
![Page 89: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/89.jpg)
![Page 90: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/90.jpg)
![Page 91: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/91.jpg)
it terminatorX (“mbirrjedhja” e buferit):
![Page 92: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/92.jpg)
shtesë, kemi ulur numrin e proceseve “te Rrezikshëm”:
të “Dyshimtë”.
të “Dyshimtë”.
![Page 93: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/93.jpg)
mundesinë për të bërë “kill” procese legjitime.
![Page 94: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/94.jpg)
këta (p.sh: shfrytëzuesit e ”mohimit të shërbimit”) ishin dizenjuar për të përshtatur së. Është e mundur që IDS mund të mos “kapë” tipe të ndryshme exploit të”mohimit të shërbimit”. Në vijim, po japi
![Page 95: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/95.jpg)
Qëndrueshmëria ndaj “Stresit”:
kuptohet që testimi i qëndrueshmërisë ndaj “stresit”, nuk është qëllimi
![Page 96: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/96.jpg)
![Page 97: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/97.jpg)
shkak të teknikës “misuse detection” që ajo përdor), ndërsa
rhyrjet e tipit “misuse”).
![Page 98: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/98.jpg)
![Page 99: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/99.jpg)
esoj i “dedikohet” bazës së madhe të të dhënave me modele tëkëtyre sulmeve dhe kuptohet që veprimi “search” kërkon një kohë më të madhe, sesa në
![Page 100: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/100.jpg)
–
it terminatorX (“Mbirrjedhja” e buferit), kemiocese (PID 6759 dhe 1852, të dy janë fëmijë të PID 6760) të cilat kategorizohen “tëRrezikshme”, ndërkohë me implementimin e testeve shtesë në Ad kategorizohen “të yshimta”.
cilat kategorizohen “të Rrezikshme” [refereoju kap4], ndërkohë me implem IDS, vetëm dy prej tyre kategorizohen “të yshimta”.
![Page 101: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/101.jpg)
![Page 102: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/102.jpg)
po “evolojn”.
raporte 16 procese janë kategorizuar “të rezikshëm” dhe 4 procese “tëshimtë”
në rastin e sulmeve të tipit “misuse” (DoS 9sekonda; “Mbirrjedhja” e buferit
tipit “anomali”, koha e procesimit është e nj
kategorizuar “të yshimtë”.
![Page 103: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/103.jpg)
së në një mjedis real (server mundësisht “honeypot” për të
është për t’u parë dhe për t’u vlerësuar në të ardhmen.
![Page 104: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/104.jpg)
![Page 105: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/105.jpg)
![Page 106: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/106.jpg)
![Page 107: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/107.jpg)
![Page 108: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/108.jpg)
![Page 109: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/109.jpg)
![Page 110: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/110.jpg)
# parametrat sysctl te testeve te “sjelljes” se proceseve
![Page 111: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/111.jpg)
![Page 112: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/112.jpg)
![Page 113: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/113.jpg)
/* A1.2 “Kapja” e thirrjeve te sistemit syscalls*/
![Page 114: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/114.jpg)
![Page 115: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/115.jpg)
![Page 116: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/116.jpg)
![Page 117: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/117.jpg)
![Page 118: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/118.jpg)
![Page 119: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/119.jpg)
![Page 120: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/120.jpg)
![Page 121: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/121.jpg)
![Page 122: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/122.jpg)
![Page 123: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/123.jpg)
![Page 124: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/124.jpg)
![Page 125: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/125.jpg)
![Page 126: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/126.jpg)
![Page 127: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/127.jpg)
/* A2.3 Testet bazuar tek “Mbirrjedhja” e buferit */
![Page 128: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/128.jpg)
![Page 129: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/129.jpg)
![Page 130: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/130.jpg)
![Page 131: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/131.jpg)
![Page 132: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/132.jpg)
![Page 133: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/133.jpg)
![Page 134: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/134.jpg)
![Page 135: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/135.jpg)
![Page 136: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/136.jpg)
![Page 137: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/137.jpg)
![Page 138: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/138.jpg)
![Page 139: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/139.jpg)
![Page 140: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/140.jpg)
![Page 141: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/141.jpg)
![Page 142: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/142.jpg)
![Page 143: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/143.jpg)
![Page 144: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/144.jpg)
![Page 145: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/145.jpg)
![Page 146: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/146.jpg)
![Page 147: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/147.jpg)
![Page 148: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/148.jpg)
![Page 149: · Metoda “Data mining ... versionit 1.0). Lejon Snort tё analizojё , duke u mbёshtetur nё ... (D etection engine), ёshtё pjesa mё kryesore nё IDS dhe njёkohёsisht pjesa](https://reader031.vdocuments.pub/reader031/viewer/2022011810/5e0cf2ee56809d452a22533b/html5/thumbnails/149.jpg)