Detekce anomálií chování sítě - Network behavior anomaly detection

Detekce anomálií chování sítě (NBAD) poskytuje jeden přístup k zabezpečení sítě detekce hrozeb. Jedná se o doplňkovou technologii k systémům, které detekují bezpečnostní hrozby na základě podpisy paketů.

NBAD je nepřetržité monitorování sítě pro neobvyklé události nebo trendy. NBAD je nedílnou součástí analýza chování sítě (NBA), která nabízí zabezpečení navíc k bezpečnosti poskytované tradičními aplikacemi proti hrozbám, jako jsou brány firewall, systémy detekce narušení, antivirový software a spyware -detekční software.

Popis

Většina bezpečnostních monitorovacích systémů využívá k detekci hrozeb přístup založený na podpisu. Obecně monitorují pakety v síti a hledají vzory v paketech, které odpovídají jejich databázi podpisů představujících předem identifikované známé bezpečnostní hrozby. Systémy založené na NBAD jsou obzvláště užitečné při detekci vektorů bezpečnostních hrozeb ve 2 případech, kdy systémy založené na podpisu nemohou: (i) nové útoky nulového dne a (ii) když je přenos hrozeb šifrován, například příkazový a řídicí kanál pro určité Botnety.

Program NBAD sleduje kritické charakteristiky sítě v reálném čase a generuje alarm, pokud je detekována podivná událost nebo trend, který by mohl naznačovat přítomnost hrozby. Mezi velké příklady takových charakteristik patří objem provozu, využití šířky pásma a použití protokolu.^[1]

Řešení NBAD mohou také sledovat chování jednotlivých účastníků sítě. Aby byl NBAD optimálně efektivní, musí být po určitou dobu stanovena základní úroveň normálního chování sítě nebo uživatele. Jakmile jsou určité parametry definovány jako normální, je jakákoli odchylka od jednoho nebo více z nich označena jako anomální.

NBAD by měl být používán vedle konvenčních firewally a aplikace pro detekci malware. Někteří prodejci začali tuto skutečnost uznávat začleněním programů NBA / NBAD jako nedílné součásti svých balíčků zabezpečení sítě.

Technologie / techniky NBAD se používají v řadě domén monitorování sítě a zabezpečení, včetně: (i) Analýza protokolu ii) systémy kontroly paketů iii) systémy monitorování toku a iv) Analýza trasy.

Populární detekce hrozeb v rámci NBAD

Detekce anomálií užitečného zatížení
Anomálie protokolu: MAC Spoofing
Anomálie protokolu: IP spoofing
Anomálie protokolu: TCP /UDP Fanout
Anomálie protokolu: IP Fanout
Anomálie protokolu: Duplicitní IP
Anomálie protokolu: Duplicitní MAC
Detekce virů
Detekce anomálií šířky pásma
Detekce rychlosti připojení

Komerční produkty

Darktrace - AI Enterprise Immune System | Antigénní autonomní reakce
Přidělit komunikaci^[2] - Allot Communications DDoS Protection
Altánové sítě NSI^[3] - Arbor Network Security Intelligence
Cisco - Stealthwatch (dříve Lankop StealthWatch)
IBM - QRadar (od roku 2003)
Enterasys Networks - Enterasys Dragon
Exinda - Integrovaný (Application Performance Score (APS), Application Performance Metric (APM), SLA a Adaptive Response)
Sítě Flowmon^[4] - Flowmon REKLAMY
FlowNBA - Síťový tok
Juniper Networks - STRM
Kybernetická bezpečnost Fidelis - Zabezpečení sítě
Poslední řádek
McAfee - Analýza chování síťových hrozeb McAfee
HP ProCurve - Network Immunity Manager
Technologie koryta řeky - Kaskáda koryta
Zdrojový oheň - Sourcefire 3D
Symantec - Symantec Advanced Threat Protection
GREYCORTEX - Mendeli^[5] (dříve TrustPort Threat Intelligence)
Vectra
ZOHO Corporation - Modul Advanced Security Analytics modulu ManageEngine NetFlow Analyzer
Microsoft Corp - Windows Defender ATP a Advanced Threat Analytics

Viz také

Analýza chování uživatelů

Reference

^ „Průběžná revize: Systémy pro analýzu chování v síti“. 5. dubna 2008.
^ „Software pro zabezpečení a ochranu DDoS: Zabezpečte svou síť“.
^ „Arbor DDoS Solutions - NETSCOUT“. NETSCOUT.
^ https://www.flowmon.com/en/products/flowmon/anomaly-detection-system
^ "GreyCortex | Pokročilá analýza síťového provozu". www.greycortex.com. Citováno 2016-06-29.

externí odkazy

Detekce síťových událostí pomocí entropických opatření, Dr. Raimund Eimann, University of Auckland, PDF; 5993 kB
Flowmon Networks - Analýza chování sítě a detekce anomálií
Bílý papír: Jak analýza síťového provozu identifikuje podezřelou nebo rizikovou aktivitu

[1] „Průběžná revize: Systémy pro analýzu chování v síti“. 5. dubna 2008.

[2] „Software pro zabezpečení a ochranu DDoS: Zabezpečte svou síť“.

[3] „Arbor DDoS Solutions - NETSCOUT“. NETSCOUT.

[4] ttps://www.flowmon.com/en/products/flowmon/anomaly-detection-system

[5] "GreyCortex | Pokročilá analýza síťového provozu". www.greycortex.com. Citováno 2016-06-29.

[1]

[2]

[3]

[4]

[5]