Система обнаружения вторжений (нужна помощь)

[TomYam]

Я студент 2-го курса по направлению ИБ. Я выбрал в тему курсового проекта систему обнаружения вторжений. То есть софтина должна будет анализировать сетевой трафик и искать в нем аномалии. Вопрос в том, что подобный софт должен уметь столько всего, что даже при продумывании MVP глаза на лоб лезут. Если есть люди, которые писали что-то подобное, расскажите какой можно написать MVP, какие типы атак можно обнаружить, так скажем, проще всего. На пакеты каких протоколов следует обратить внимание в первую очередь, что анализировать в пакетах, чтобы был результат, так сказать. Может, есть какие то мануалы/документация/литература/видео (русский или английский контент - без разницы). Заранее спасибо за любую информацию.

 

[xverizex]

Можно для начала научиться определять arp спуфинг. Также обнаружение вторжений вроде как использует код каких-то эксплоитов, которые можно взять у snort. придется написать анализатор пакетов snort и тогда будет легче. есть как tcp так и udp. смотря в какой программе была уязвимость. насколько я понимаю эту тему.