Виявлення аномалій у мережевій поведінці

Опис

Узагальнити

Перспектива

Системи, які використовують виявлення аномалій у мережевій поведінці, можуть бути корисними у виявленні загроз, там де сигнатурний аналіз не може дати результатів, а саме:

при загрозах нульового дня;
коли трафік зашифрований, як-то передача даних на командний сервер у ботнетах.

Система відслідковує критичні характеристики мережі у реальному часі і формує сигнал тривоги при виявленні дивної події, яка може свідчити про наявність загрози. Приклади таких характеристик включають обсяг трафіку, використання смуги пропускання та використання протоколів.^[2]

Системи виявлення аномалій у мережевій поведінці також відслідковують поведінку окремих вузлів мережі. Зазвичай системи виявлення аномалій у мережевій поведінці є ефективними, якщо нормальна поведінка у мережі є сталою протягом довгого часу. Тоді деякі параметри визнаються нормальними, тоді як усі відхилення — аномалією.

Системи виявлення аномалій у мережевій поведінці повинні використовуватись разом зі звичайними мережевими екранами та застосунками для виявлення шкідливих програм. Деякі виробники визнають, що системи виявлення аномалій у мережевій поведінці є частиною їх рішень з мережевої безпеки.

Системи виявлення аномалій у мережевій поведінці використовують аналіз журналів реєстрації подій, аналіз пакетів, моніторинг мережевих потоків та аналіз маршрутів.

Remove ads

Порівняння

Переваги

До переваг підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

можливість виявлення раніше невідомих загроз (загроз нульового дня);
відсутність необхідності підтримувати сигнатури у актуальному стані.

Недоліки

До недоліків підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

наявність хибно позитивних спрацьовувань при певних нестандартних, але допустимих ситуаціях (наприклад зростання трафіку у при підготовці річного звіту);
у окремих випадках необхідність «навчання» для створення шаблонів нормальної поведінки у мережі.

Remove ads

Популярні аномалії

Аномалія корисного навантаження
Аномалія протоколу: підміна MAC
Аномалія протоколу: підміна IP
Аномалія протоколу: велика кількість підключень на один/ з одного порту TCP/UDP
Аномалія протоколу: велика кількість підключень на одну/ з однієї IP-адреси
Виявлення вірусу
Аномалія пропускної здатності
Виявлення аномальної частки підключень

Комерційні продукти

Allot Communications(інші мови)^[3] — Allot Communications DDoS Protection
Arbor Networks(інші мови) NSI^[4] — Arbor Network Security Intelligence
Lancope(інші мови) — StealthWatch (з 2001)
IBM — QRadar (з 2003)
Enterasys Networks(інші мови) — Enterasys Dragon
Exinda(інші мови) — вбудовний (Application Performance Score (APS), Application Performance Metric (APM), SLA, та Adaptive Response)
Extrahop(інші мови)
FlowTraq
Flowmon Networks(інші мови) -^[5] — Flowmon ADS
FlowNBA — NetFlow
Juniper Networks(інші мови) — STRM
Lastline(інші мови)
McAfee — McAfee Network Threat Behavior Analysis
PacketSled — PacketSled
PathSolutions — PathSolutions VoIP and Network Performance Manager
Plixer International — Scrutinizer
HP ProCurve(інші мови) — Network Immunity Manager
Redsocks — The RedSocks Probe
Riverbed Technology(інші мови) — Riverbed Cascade
Solana Networks(інші мови) — SmartFlow
Sourcefire — Sourcefire 3D
Symantec — Symantec Advanced Threat Protection
ThreatTrack(інші мови) — ThreatSecure Network
GreyCortex(інші мови) — Mendel^[6] (колишній TrustPort(інші мови) Threat Intelligence)
ZOHO Corporation(інші мови) — ManageEngine NetFlow Analyzer's Advanced Security Analytics Module
Microsoft — Windows Defender ATP та Advanced Threat Analytics

Remove ads

Виявлення аномалій у мережевій поведінці

Опис

Порівняння

Переваги

Недоліки

Популярні аномалії

Комерційні продукти

Примітки

Див. також

Посилання

Wikiwand - on