Виявлення аномалій у мережевій поведінці

Виявлення аномалій у мережевій поведінці (англ. Network behavior anomaly detection, NBAD) — підхід до виявлення загроз мережевій безпеці. Є одним з підходів до побудови мережевих систем виявлення вторгнень^[1]. Доповнює технологію систем що виявляють атаки на основі сигнатур пакетів. Також використовується антивірусним програмним забезпеченням та антишпигунським програмним забезпеченням.

Під час виявлення аномалій у мережевій поведінці проводиться безперервний моніторинг мережі на наявність незвичних подій або тенденцій.

Опис

Системи, які використовують виявлення аномалій у мережевій поведінці, можуть бути корисними у виявленні загроз, там де сигнатурний аналіз не може дати результатів, а саме:

• при загрозах нульового дня;
• коли трафік зашифрований, як-то передача даних на командний сервер у ботнетах.

Система відслідковує критичні характеристики мережі у реальному часі і формує сигнал тривоги при виявленні дивної події, яка може свідчити про наявність загрози. Приклади таких характеристик включають обсяг трафіку, використання смуги пропускання та використання протоколів.^[2]

Системи виявлення аномалій у мережевій поведінці також відслідковують поведінку окремих вузлів мережі. Зазвичай системи виявлення аномалій у мережевій поведінці є ефективними, якщо нормальна поведінка у мережі є сталою протягом довгого часу. Тоді деякі параметри визнаються нормальними, тоді як усі відхилення — аномалією.

Системи виявлення аномалій у мережевій поведінці повинні використовуватись разом зі звичайними мережевими екранами та застосунками для виявлення шкідливих програм. Деякі виробники визнають, що системи виявлення аномалій у мережевій поведінці є частиною їх рішень з мережевої безпеки.

Системи виявлення аномалій у мережевій поведінці використовують аналіз журналів реєстрації подій, аналіз пакетів, моніторинг мережевих потоків та аналіз маршрутів.

Порівняння

Переваги

До переваг підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

• можливість виявлення раніше невідомих загроз (загроз нульового дня);
• відсутність необхідності підтримувати сигнатури у актуальному стані.

Недоліки

До недоліків підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

• наявність хибно позитивних спрацьовувань при певних нестандартних, але допустимих ситуаціях (наприклад зростання трафіку у при підготовці річного звіту);
• у окремих випадках необхідність «навчання» для створення шаблонів нормальної поведінки у мережі.

Популярні аномалії

• Аномалія корисного навантаження
• Аномалія протоколу: підміна MAC
• Аномалія протоколу: підміна IP
• Аномалія протоколу: велика кількість підключень на один/ з одного порту TCP/UDP
• Аномалія протоколу: велика кількість підключень на одну/ з однієї IP-адреси
• Виявлення вірусу
• Аномалія пропускної здатності
• Виявлення аномальної частки підключень

Комерційні продукти

• Allot Communications^[3] — Allot Communications DDoS Protection
• Arbor Networks NSI^[4] — Arbor Network Security Intelligence
• Lancope — StealthWatch (з 2001)
• IBM — QRadar (з 2003)
• Enterasys Networks — Enterasys Dragon
• Exinda — вбудовний (Application Performance Score (APS), Application Performance Metric (APM), SLA, та Adaptive Response)
• Extrahop
• FlowTraq
• Flowmon Networks -^[5] — Flowmon ADS
• FlowNBA — NetFlow
• Juniper Networks — STRM
• Lastline
• McAfee — McAfee Network Threat Behavior Analysis
• PacketSled — PacketSled
• PathSolutions — PathSolutions VoIP and Network Performance Manager
• Plixer International — Scrutinizer
• HP ProCurve — Network Immunity Manager
• Redsocks — The RedSocks Probe
• Riverbed Technology — Riverbed Cascade
• Solana Networks — SmartFlow
• Sourcefire — Sourcefire 3D
• Symantec — Symantec Advanced Threat Protection
• ThreatTrack — ThreatSecure Network
• GreyCortex — Mendel^[6] (колишній TrustPort Threat Intelligence)
• ZOHO Corporation — ManageEngine NetFlow Analyzer's Advanced Security Analytics Module
• Microsoft — Windows Defender ATP та Advanced Threat Analytics

Примітки

1. Архівована копія (PDF). Архів оригіналу (PDF) за 10 червня 2014. Процитовано 9 квітня 2018.
2. Архівована копія. Архів оригіналу за 4 серпня 2013. Процитовано 9 квітня 2018.
3. Архівована копія. Архів оригіналу за 1 грудня 2017. Процитовано 9 квітня 2018.
4. Архівована копія. Архів оригіналу за 29 серпня 2015. Процитовано 9 квітня 2018.
5. Архівована копія. Архів оригіналу за 7 лютого 2018. Процитовано 9 квітня 2018.
6. GreyCortex | Advanced Network Traffic Analysis. www.greycortex.com. Архів оригіналу за 9 квітня 2018. Процитовано 29 червня 2016.

Див. також

• Аналіз поведінки користувачів
• Системи виявлення вторгнень на основі аномалій^[en]
• Netflow

Посилання

• Network Event Detection With Entropy Measures [Архівовано 13 квітня 2016 у Wayback Machine.], Dr. Raimund Eimann, University of Auckland, PDF; 5993 kB
• Flowmon Networks — Network Behavior Analysis & Anomaly Detection [Архівовано 16 вересня 2018 у Wayback Machine.]