bitmuncher
Senior-Nerd
Aber selbst wenn beides klappt, müsstest du in deinem NIDS immer noch ein gewisses Delta beim Messen erlauben oder du wirst dich vor False-Positives nicht retten können und dieses Delta kann ein Angreifer nutzen.
Das Delta ist ja in der EISN mit drin. Und natürlich erkennt man einen versteckten Kanal nicht bereits beim ersten Datenpaket. Aber die Gesamtheit der Pakete wird immer vom erwarteten Zufallszahlen-Generierungsmodell abweichen sobald ein anderer Algorithmus zur Erzeugung der ISN genutzt wird als der des Systems. Und das wiederum lässt sich nicht vermeiden, wenn man die ISN zum Kodieren von Daten nutzt. Irgendwie müssen diese Daten ja einfliessen und somit hast du mindestens einen Faktor mehr in der Formel zur Berechnung der ISN, wodurch bereits eine signifikante Verschiebung vom erwarteten Modell nicht zu vermeiden ist.