Виявлення аномалій у мережевій поведінці

Виявлення аномалій у мережевій поведінці (англ. Network behavior anomaly detection, NBAD) — підхід до виявлення загроз мережевій безпеці. Є одним з підходів до побудови мережевих систем виявлення вторгнень[1]. Доповнює технологію систем що виявляють атаки на основі сигнатур пакетів. Також використовується антивірусним програмним забезпеченням та антишпигунським програмним забезпеченням.

Під час виявлення аномалій у мережевій поведінці проводиться безперервний моніторинг мережі на наявність незвичних подій або тенденцій.

Опис

Системи, які використовують виявлення аномалій у мережевій поведінці, можуть бути корисними у виявленні загроз, там де сигнатурний аналіз не може дати результатів, а саме:

  • при загрозах нульового дня;
  • коли трафік зашифрований, як-то передача даних на командний сервер у ботнетах.

Система відслідковує критичні характеристики мережі у реальному часі і формує сигнал тривоги при виявленні дивної події, яка може свідчити про наявність загрози. Приклади таких характеристик включають обсяг трафіку, використання cмуги пропускання та використання протоколів.[2]

Системи виявлення аномалій у мережевій поведінці також відслідковують поведінку окремих вузлів мережі. Зазвичай системи виявлення аномалій у мережевій поведінці є ефективними, якщо нормальна поведінка у мережі є сталою протягом довгого часу. Тоді деякі параметри визнаються нормальними, тоді як усі відхилення - аномалією.

Системи виявлення аномалій у мережевій поведінці повинні використовуватись разом зі звичайними мережевими екранами та застосунками для виявлення шкідливих програм. Деякі виробники визнають, що системи виявлення аномалій у мережевій поведінці є частиною їх рішень з мережевої безпеки.

Системи виявлення аномалій у мережевій поведінці використовують аналіз журналів реєстрації подій, аналіз пакетів, моніторинг мережевих потоків та аналіз маршрутів.

Порівняння

Переваги

До переваг підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

  • можливість виявлення раніше невідомих загроз (загроз нульового дня);
  • відсутність необхідності підтримувати сигнатури у актуальному стані.

Недоліки

До недоліків підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

  • наявність хибно позитивних спрацьовувань при певних нестандартних, але допустимих ситуаціях (наприклад зростання трафіку у при підготовці річного звіту);
  • у окремих випадках необхідність "навчання" для створення шаблонів нормальної поведінки у мережі.

Популярні аномалії
  • Аномалія корисного навантаження
  • Аномалія протоколу: підміна MAC
  • Аномалія протоколу: підміна IP
  • Аномалія протоколу: велика кількість підключень на один/ з одного порту TCP/UDP
  • Аномалія протоколу: велика кількість підключень на одну/ з однієї IP-адреси
  • Виявлення вірусу
  • Аномалія пропускної здатності
  • Виявлення аномальної частки підключень

Комерційні продукти
  • Allot Communications[3] — Allot Communications DDoS Protection
  • Arbor Networks NSI[4] — Arbor Network Security Intelligence
  • Lancope — StealthWatch (з 2001)
  • IBM — QRadar (з 2003)
  • Enterasys Networks — Enterasys Dragon
  • Exinda — вбудовний (Application Performance Score (APS), Application Performance Metric (APM), SLA, та Adaptive Response)
  • Extrahop
  • FlowTraq
  • Flowmon Networks -[5] — Flowmon ADS
  • FlowNBA NetFlow
  • Juniper Networks — STRM
  • Lastline
  • McAfee — McAfee Network Threat Behavior Analysis
  • PacketSled — PacketSled
  • PathSolutions — PathSolutions VoIP and Network Performance Manager
  • Plixer International — Scrutinizer
  • HP ProCurve — Network Immunity Manager
  • Redsocks — The RedSocks Probe
  • Riverbed Technology — Riverbed Cascade
  • Solana Networks — SmartFlow
  • Sourcefire — Sourcefire 3D
  • Symantec — Symantec Advanced Threat Protection
  • ThreatTrack — ThreatSecure Network
  • GreyCortex — Mendel[6] (колишній TrustPort Threat Intelligence)
  • ZOHO Corporation — ManageEngine NetFlow Analyzer's Advanced Security Analytics Module
  • Microsoft — Windows Defender ATP та Advanced Threat Analytics

Примітки
  1. http://iac.dtic.mil/csiac/download/intrusion_detection.pdf
  2. http://www.networkcomputing.com/data-protection/rolling-review-kickoff-network-behavior/229603646
  3. https://www.allot.com/products/security/serviceprotector/
  4. http://www.arbornetworks.com/products/pravail/nsi
  5. https://www.flowmon.com/en/products/flowmon/anomaly-detection-system
  6. GreyCortex | Advanced Network Traffic Analysis. www.greycortex.com. Процитовано 29 червня 2016.


Див. також
  • Аналіз поведінки користувачів
  • Системи виявлення вторгнень на основі аномалій
  • Netflow

Посилання
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.