Analisi delle anomalie di rete per eventi dannosi

3

Per un progetto di sicurezza della rete, stiamo elencando il nostro traffico di rete di circa 50-60 host. Miriamo a identificare eventi dannosi all'interno del nostro traffico di rete identificando le anomalie della rete.

Il nostro obiettivo principale è scoprire se c'è anomalia nella nostra rete. Un caso speciale sarebbe quello di rilevare i riavvii. quale sarebbe il vantaggio di analizzare le anomalie della rete rispetto all'approccio tradizionale basato sulla firma? o cosa potremmo scoprire altrimenti con queste informazioni?

Nota: per quanto ne so, c'è solo un po 'di malware, che riavvia il computer. C'è qualche anomalia che causa il riavvio di un host?

    
posta smttsp 16.01.2013 - 10:23
fonte

2 risposte

1

Un problema di memoria può causare un server in BSOD. Se le tue impostazioni per BSOD devono riavviarsi automaticamente, il server si riavvia.

Alcuni malware potrebbero dover essere caricati all'avvio, in modo che l'intruso possa attivare in qualche modo un riavvio.

Leggi questo articolo:

link

Mostra che i riavvii non sono solo causati da persone malintenzionate, ma da molti problemi. Da un punto di vista operativo, vorresti sapere cosa ha causato il riavvio in modo da poterlo risolvere.

Inoltre, il vantaggio di rilevare i riavvii potrebbe essere "perché il nostro settore lo richiede". Questo articolo link e NIST SP 800-137 mostrano alcuni mandati e linee guida per il monitoraggio continuo. Poiché un riavvio è un evento notevole, vorresti sapere che cosa l'ha causato.

    
risposta data 16.01.2013 - 13:25
fonte
1

Dal punto di vista della ricerca, la tua domanda ha un uso molto limitato, come menzionato da Jeff. Quello che ho capito dalla tua domanda è necessario conoscere l'applicazione di algoritmi di anomalia basati sulla rete per rilevare attività di rete dannose all'interno della rete. In breve nella ricerca sono stati proposti diversi algoritmi per catturare l'euristica della rete per attività specifiche di malware. Pochi di loro sono

  1. TRW-CB (camminata casuale soglia con limitazione della velocità basata sul credito): l'anomalia viene osservata osservando che il numero di connessioni di rete effettuate dal nodo benigno è molto inferiore rispetto al nodo maligno all'interno della rete.
  2. Rilevatore di entropia massima: in questo algoritmo il traffico di rete viene modellato in classi diverse per la stima dell'entropia benigna e quindi la divergenza dei nuovi pacchetti in arrivo rivelerà un'anomalia a seconda della soglia impostata dall'amministratore di rete.
  3. Netad Un algoritmo di anomalia della rete basato su regole. Calcola un punteggio di pacchetto a seconda del tempo e della frequenza di ogni byte all'interno del pacchetto. Raro e nuovo i valori dell'intestazione sono assegnati ai punteggi più alti. Una soglia viene applicata al punteggio di un pacchetto per trovare pacchetti anomali. [fonte Revisione del rilevamento dell'anomalia del traffico usando Software definito in rete]
risposta data 16.01.2013 - 14:59
fonte

Leggi altre domande sui tag