Главная » 2012»Апрель»13 » Обнаружение Advanced Persistent Threats (развитая постоянная угроза) с помощью NetFlow и IPFIX.
21:31
Обнаружение Advanced Persistent Threats (развитая постоянная угроза) с помощью NetFlow и IPFIX.
Advanced Persistent Threat - тип атак, при которых канал нападения не определен, так как злоумышленник осуществляет атаку в течение продолжительного времени, перебирая различные виды угроз и уязвимостей до получения результата.
Обнаружение атак типа Advanced Persistent Threats (APT) и других сетевых угроз с помощью NetFlow или IPFIX требует использовать сложный анализ потоков. Например, информация о наиболее популярных хостах и приложениях, наиболее часто встречающиеся значения DSCP и т.п. - все это значительная информация и может использоваться как реактивно, так и проактивно, но это только "верхушка айсберга" того, что может нам сообщить NetFlow о различных типах аномалий трафика, которые остались незамеченными другими системами защиты. Например, хост, сканирующий сеть, вызывает множество потоков, но потребляет очень маленькую полосу пропускания. Что если вы рассчитывает на использование только протоколов TCP, UDP и ICMP в своей сети? Необходимо ли поднимать тревогу при обнаружении DDP, DDX, IPv6 или IGMP? Поскольку то, что мы хотим знать о нашей сети, зависит от нашего бизнеса, то системы обнаружения вторжений должны позволять использовать настраиваемые алгоритмы (например, осуществлять мониторинг трафика Facebook).
Ниже можно увидеть более детальный вид предупреждений с дополнительными колонками. Показаны метки первого и последнего времени нарушения, также ссылка для просмотра всех хостов, которые затронуты для каждого алгоритма.
Коллекторы используют базы данных репутации IP-хостов. Этот алгоритм проверяет адрес источника и отправителя для каждого потока, чтобы определить не включены ли они в эту базу данных. В случае совпадения, генерируется сигнальная информация.
Меню сайта
