Виявлення аномалій у мережевій поведінці
Виявлення аномалій у мережевій поведінці (англ. Network behavior anomaly detection, NBAD) — підхід до виявлення загроз мережевій безпеці. Є одним з підходів до побудови мережевих систем виявлення вторгнень[1]. Доповнює технологію систем що виявляють атаки на основі сигнатур пакетів. Також використовується антивірусним програмним забезпеченням та антишпигунським програмним забезпеченням.
Під час виявлення аномалій у мережевій поведінці проводиться безперервний моніторинг мережі на наявність незвичних подій або тенденцій.
Опис ред.
Системи, які використовують виявлення аномалій у мережевій поведінці, можуть бути корисними у виявленні загроз, там де сигнатурний аналіз не може дати результатів, а саме:
- при загрозах нульового дня;
- коли трафік зашифрований, як-то передача даних на командний сервер у ботнетах.
Система відслідковує критичні характеристики мережі у реальному часі і формує сигнал тривоги при виявленні дивної події, яка може свідчити про наявність загрози. Приклади таких характеристик включають обсяг трафіку, використання смуги пропускання та використання протоколів.[2]
Системи виявлення аномалій у мережевій поведінці також відслідковують поведінку окремих вузлів мережі. Зазвичай системи виявлення аномалій у мережевій поведінці є ефективними, якщо нормальна поведінка у мережі є сталою протягом довгого часу. Тоді деякі параметри визнаються нормальними, тоді як усі відхилення — аномалією.
Системи виявлення аномалій у мережевій поведінці повинні використовуватись разом зі звичайними мережевими екранами та застосунками для виявлення шкідливих програм. Деякі виробники визнають, що системи виявлення аномалій у мережевій поведінці є частиною їх рішень з мережевої безпеки.
Системи виявлення аномалій у мережевій поведінці використовують аналіз журналів реєстрації подій, аналіз пакетів, моніторинг мережевих потоків та аналіз маршрутів.
Порівняння ред.
Переваги ред.
До переваг підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:
- можливість виявлення раніше невідомих загроз (загроз нульового дня);
- відсутність необхідності підтримувати сигнатури у актуальному стані.
Недоліки ред.
До недоліків підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:
- наявність хибно позитивних спрацьовувань при певних нестандартних, але допустимих ситуаціях (наприклад зростання трафіку у при підготовці річного звіту);
- у окремих випадках необхідність «навчання» для створення шаблонів нормальної поведінки у мережі.
Популярні аномалії ред.
- Аномалія корисного навантаження
- Аномалія протоколу: підміна MAC
- Аномалія протоколу: підміна IP
- Аномалія протоколу: велика кількість підключень на один/ з одного порту TCP/UDP
- Аномалія протоколу: велика кількість підключень на одну/ з однієї IP-адреси
- Виявлення вірусу
- Аномалія пропускної здатності
- Виявлення аномальної частки підключень
Комерційні продукти ред.
- Allot Communications[3] — Allot Communications DDoS Protection
- Arbor Networks NSI[4] — Arbor Network Security Intelligence
- Lancope — StealthWatch (з 2001)
- IBM — QRadar (з 2003)
- Enterasys Networks — Enterasys Dragon
- Exinda — вбудовний (Application Performance Score (APS), Application Performance Metric (APM), SLA, та Adaptive Response)
- Extrahop
- FlowTraq
- Flowmon Networks -[5] — Flowmon ADS
- FlowNBA — NetFlow
- Juniper Networks — STRM
- Lastline
- McAfee — McAfee Network Threat Behavior Analysis
- PacketSled — PacketSled
- PathSolutions — PathSolutions VoIP and Network Performance Manager
- Plixer International — Scrutinizer
- HP ProCurve — Network Immunity Manager
- Redsocks — The RedSocks Probe
- Riverbed Technology — Riverbed Cascade
- Solana Networks — SmartFlow
- Sourcefire — Sourcefire 3D
- Symantec — Symantec Advanced Threat Protection
- ThreatTrack — ThreatSecure Network
- GreyCortex — Mendel[6] (колишній TrustPort Threat Intelligence)
- ZOHO Corporation — ManageEngine NetFlow Analyzer's Advanced Security Analytics Module
- Microsoft — Windows Defender ATP та Advanced Threat Analytics
Примітки ред.
- ↑ Архівована копія (PDF). Архів оригіналу (PDF) за 10 червня 2014. Процитовано 9 квітня 2018.
{{cite web}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) - ↑ Архівована копія. Архів оригіналу за 4 серпня 2013. Процитовано 9 квітня 2018.
{{cite web}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) - ↑ Архівована копія. Архів оригіналу за 1 грудня 2017. Процитовано 9 квітня 2018.
{{cite web}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) - ↑ Архівована копія. Архів оригіналу за 29 серпня 2015. Процитовано 9 квітня 2018.
{{cite web}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) - ↑ Архівована копія. Архів оригіналу за 7 лютого 2018. Процитовано 9 квітня 2018.
{{cite web}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) - ↑ GreyCortex | Advanced Network Traffic Analysis. www.greycortex.com. Архів оригіналу за 9 квітня 2018. Процитовано 29 червня 2016.
Див. також ред.
Посилання ред.
- Network Event Detection With Entropy Measures [Архівовано 13 квітня 2016 у Wayback Machine.], Dr. Raimund Eimann, University of Auckland, PDF; 5993 kB
- Flowmon Networks — Network Behavior Analysis & Anomaly Detection [Архівовано 16 вересня 2018 у Wayback Machine.]