Ich untersuche grade ein paar Logfiles und möchte eine Aussage treffen wie wahrscheinlich es bei 1135 Hosts ist das 10,8,6 oder vier Rechner die gleiche Portnummer wählen.
Also wie hoch ist die Wahrscheinlichkeit das sich 10 Rechner aus etwa 64511 (65535 abzüglich die 1024 root only Ports) den gleichen Port suchen?
Ich bin Informatiker, kein Mathematiker *g*

Ich bin Informatiker, kein Mathematiker *g*
Dann lass es den Computer doch einfach ausprobieren, funktioniert genauso gut ;)

Für eine statistisch brauchbare Aussage müssen auf jeden Fall mal deutlich mehr Sessions ausgewertet werden als Ports verwendet wurden (möglichst 50 bis 100-mal soviel), sonst ist das eher Kaffeesatzleserei.
Am besten wertest du Port für Port aus und notierst/speicherst, in welchem Zeitraum jeweils wieviele Hosts diesen Port benutzten. Dann musst du nur noch bestimmen, über welche Zeitdauer mindestens 6,8 oder 10 Hosts denselben Port benutzten und teilst das durch die Gesamtdauer der Erhebung.
Dieser Quotient ist dann gerade die Wahrscheinlichkeit dafür, dass dieser Port gleichzeitig von mehr als 6,8 oder 10 Hosts gewählt wurde.

Wenn du noch wissen willst, wie hoch die Wahrscheinlichkeit ist, dass generell irgendein Port von mehr als 6, 8 oder 10 Rechnern gleichzeitig verwendet wird, ziehst du die Einzelwahrscheinlichkeiten für jeden Port p1, p2, p3, p4, etc. heran und berechnest die Gesamtwahrscheinlichkeit folgendermaßen:
P = 1 - (1-p1)*(1-p2)*(1-p3)*(1-p4)*...

Ich untersuche grade ein paar Logfiles und möchte eine Aussage treffen wie wahrscheinlich es bei 1135 Hosts ist das 10,8,6 oder vier Rechner die gleiche Portnummer wählen.
Also wie hoch ist die Wahrscheinlichkeit das sich 10 Rechner aus etwa 64511 (65535 abzüglich die 1024 root only Ports) den gleichen Port suchen?Uff ...
Genau zehn? Oder wenigstens zehn?

mfg Pynok

Ich untersuche grade ein paar Logfiles und möchte eine Aussage treffen wie wahrscheinlich es bei 1135 Hosts ist das 10,8,6 oder vier Rechner die gleiche Portnummer wählen.
Also wie hoch ist die Wahrscheinlichkeit das sich 10 Rechner aus etwa 64511 (65535 abzüglich die 1024 root only Ports) den gleichen Port suchen?
Ich bin Informatiker, kein Mathematiker *g*

Die philosophische Antwort: sehr gering. :D ;D

Berechnung sollte so gehen wie beim Lotto, nur, dass es nicht 1 aus 49 sondern 1 aus 64511 ist - für einen Rechner, dass er schon einen belegten Port trifft. Für noch einen dazu, wäre die Wahrscheinlichkeit wahrscheinlich dann 2/64511. Für den nächsten 3/64511. Also Summe von i=0 bis 9 von i/64511 - oder? :confused::rolleyes::|

Geburtstagsparadoxon (http://de.wikipedia.org/wiki/Geburtstagsparadoxon)? Bin grad rechenfaul...

http://upload.wikimedia.org/math/5/6/8/5689c0a070822cd01e8800b5b22c9551.png
n = Rechnerzahl und 365 durch Portzahl ersetzen

Calc.exe sagt: 6,9734644011633882508057999145035e-4 für 10 Rechner und 64511 Ports.

Vorrausgesetzt ich hab mich nicht allzu blöd angestellt. *hust* So ist das aber nur die Warscheinlichkeit das es 2 PCs schaffen den selben Port zu erwischen...

PS: Bin auch Informatiker :tongue:

@Spasstiger: ich hätte ja gern mehr Daten, leider will der dumme Trojaner, den ich untersuche nicht unendlich viele Daten abegeben (bzw. geben die mir zur Verfügung gestellten Daten nicht mehr her).

Konkret: Trojaner kommuniziert mit diversen anderen Zombie-PCs. Bei diesen scheinen einige Ports häufiger genutzt zu werden als andere..


Jetzt frage ich mich: Wenn die Gegenstellen (Zombie Nodes/C&C Server) zufällig ihren lauschenden Port wählen würden, ist dann eine solche Verteilung wahrscheinlich, oder ist es eher auffällig das 10 Rechner den Port XYZ gewählt haben?
Bei einem zweiten Sample nutzen bsp. 34 von 1400 Endpunkten den gleichen Port.

Bei einem zweiten Sample nutzen bsp. 34 von 1400 Endpunkten den gleichen Port.
Bei 64511 Ports sollte das schon statistisch signifikant sein... Auffallend ist es auf jeden Fall.