Виявлення аномалій у мережевій поведінці (англ. Network behavior anomaly detection, NBAD) — підхід до виявлення загроз мережевій безпеці. Є одним з підходів до побудови мережевих систем виявлення вторгнень. Доповнює технологію систем що виявляють атаки на основі сигнатур пакетів. Також використовується антивірусним програмним забезпеченням та антишпигунським програмним забезпеченням.
Під час виявлення аномалій у мережевій поведінці проводиться безперервний моніторинг мережі на наявність незвичних подій або тенденцій.
Опис
Системи, які використовують виявлення аномалій у мережевій поведінці, можуть бути корисними у виявленні загроз, там де сигнатурний аналіз не може дати результатів, а саме:
- при загрозах нульового дня;
- коли трафік зашифрований, як-то передача даних на командний сервер у ботнетах.
Система відслідковує критичні характеристики мережі у реальному часі і формує сигнал тривоги при виявленні дивної події, яка може свідчити про наявність загрози. Приклади таких характеристик включають обсяг трафіку, використання смуги пропускання та використання протоколів.
Системи виявлення аномалій у мережевій поведінці також відслідковують поведінку окремих вузлів мережі. Зазвичай системи виявлення аномалій у мережевій поведінці є ефективними, якщо нормальна поведінка у мережі є сталою протягом довгого часу. Тоді деякі параметри визнаються нормальними, тоді як усі відхилення — аномалією.
Системи виявлення аномалій у мережевій поведінці повинні використовуватись разом зі звичайними мережевими екранами та застосунками для виявлення шкідливих програм. Деякі виробники визнають, що системи виявлення аномалій у мережевій поведінці є частиною їх рішень з мережевої безпеки.
Системи виявлення аномалій у мережевій поведінці використовують аналіз журналів реєстрації подій, аналіз пакетів, моніторинг мережевих потоків та аналіз маршрутів.
Порівняння
Переваги
До переваг підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:
- можливість виявлення раніше невідомих загроз (загроз нульового дня);
- відсутність необхідності підтримувати сигнатури у актуальному стані.
Недоліки
До недоліків підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:
- наявність хибно позитивних спрацьовувань при певних нестандартних, але допустимих ситуаціях (наприклад зростання трафіку у при підготовці річного звіту);
- у окремих випадках необхідність «навчання» для створення шаблонів нормальної поведінки у мережі.
Популярні аномалії
- Аномалія корисного навантаження
- Аномалія протоколу: підміна MAC
- Аномалія протоколу: підміна IP
- Аномалія протоколу: велика кількість підключень на один/ з одного порту TCP/UDP
- Аномалія протоколу: велика кількість підключень на одну/ з однієї IP-адреси
- Виявлення вірусу
- Аномалія пропускної здатності
- Виявлення аномальної частки підключень
Комерційні продукти
- — Allot Communications DDoS Protection
- NSI — Arbor Network Security Intelligence
- — StealthWatch (з 2001)
- IBM — QRadar (з 2003)
- — Enterasys Dragon
- — вбудовний (Application Performance Score (APS), Application Performance Metric (APM), SLA, та Adaptive Response)
- - — Flowmon ADS
- FlowNBA — NetFlow
- — STRM
- McAfee — McAfee Network Threat Behavior Analysis
- PacketSled — PacketSled
- — PathSolutions VoIP and Network Performance Manager
- — Scrutinizer
- — Network Immunity Manager
- Redsocks — The RedSocks Probe
- — Riverbed Cascade
- — SmartFlow
- Sourcefire — Sourcefire 3D
- Symantec — Symantec Advanced Threat Protection
- — ThreatSecure Network
- — Mendel (колишній Threat Intelligence)
- — ManageEngine NetFlow Analyzer's Advanced Security Analytics Module
- Microsoft — Windows Defender ATP та Advanced Threat Analytics
Примітки
- (PDF). Архів оригіналу (PDF) за 10 червня 2014. Процитовано 9 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title () - . Архів оригіналу за 4 серпня 2013. Процитовано 9 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title () - . Архів оригіналу за 1 грудня 2017. Процитовано 9 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title () - . Архів оригіналу за 29 серпня 2015. Процитовано 9 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title () - . Архів оригіналу за 7 лютого 2018. Процитовано 9 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title () - . www.greycortex.com. Архів оригіналу за 9 квітня 2018. Процитовано 29 червня 2016.
Див. також
Посилання
- Network Event Detection With Entropy Measures [ 13 квітня 2016 у Wayback Machine.], Dr. Raimund Eimann, University of Auckland, PDF; 5993 kB
- Flowmon Networks — Network Behavior Analysis & Anomaly Detection [ 16 вересня 2018 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Viyavlennya anomalij u merezhevij povedinci angl Network behavior anomaly detection NBAD pidhid do viyavlennya zagroz merezhevij bezpeci Ye odnim z pidhodiv do pobudovi merezhevih sistem viyavlennya vtorgnen Dopovnyuye tehnologiyu sistem sho viyavlyayut ataki na osnovi signatur paketiv Takozh vikoristovuyetsya antivirusnim programnim zabezpechennyam ta antishpigunskim programnim zabezpechennyam Pid chas viyavlennya anomalij u merezhevij povedinci provoditsya bezperervnij monitoring merezhi na nayavnist nezvichnih podij abo tendencij OpisSistemi yaki vikoristovuyut viyavlennya anomalij u merezhevij povedinci mozhut buti korisnimi u viyavlenni zagroz tam de signaturnij analiz ne mozhe dati rezultativ a same pri zagrozah nulovogo dnya koli trafik zashifrovanij yak to peredacha danih na komandnij server u botnetah Sistema vidslidkovuye kritichni harakteristiki merezhi u realnomu chasi i formuye signal trivogi pri viyavlenni divnoyi podiyi yaka mozhe svidchiti pro nayavnist zagrozi Prikladi takih harakteristik vklyuchayut obsyag trafiku vikoristannya smugi propuskannya ta vikoristannya protokoliv Sistemi viyavlennya anomalij u merezhevij povedinci takozh vidslidkovuyut povedinku okremih vuzliv merezhi Zazvichaj sistemi viyavlennya anomalij u merezhevij povedinci ye efektivnimi yaksho normalna povedinka u merezhi ye staloyu protyagom dovgogo chasu Todi deyaki parametri viznayutsya normalnimi todi yak usi vidhilennya anomaliyeyu Sistemi viyavlennya anomalij u merezhevij povedinci povinni vikoristovuvatis razom zi zvichajnimi merezhevimi ekranami ta zastosunkami dlya viyavlennya shkidlivih program Deyaki virobniki viznayut sho sistemi viyavlennya anomalij u merezhevij povedinci ye chastinoyu yih rishen z merezhevoyi bezpeki Sistemi viyavlennya anomalij u merezhevij povedinci vikoristovuyut analiz zhurnaliv reyestraciyi podij analiz paketiv monitoring merezhevih potokiv ta analiz marshrutiv PorivnyannyaPerevagi Do perevag pidhodu viyavlennya anomalij u merezhevij povedinci u porivnyanni z signaturnim analizom vidnosyatsya mozhlivist viyavlennya ranishe nevidomih zagroz zagroz nulovogo dnya vidsutnist neobhidnosti pidtrimuvati signaturi u aktualnomu stani Nedoliki Do nedolikiv pidhodu viyavlennya anomalij u merezhevij povedinci u porivnyanni z signaturnim analizom vidnosyatsya nayavnist hibno pozitivnih spracovuvan pri pevnih nestandartnih ale dopustimih situaciyah napriklad zrostannya trafiku u pri pidgotovci richnogo zvitu u okremih vipadkah neobhidnist navchannya dlya stvorennya shabloniv normalnoyi povedinki u merezhi Populyarni anomaliyiAnomaliya korisnogo navantazhennya Anomaliya protokolu pidmina MAC Anomaliya protokolu pidmina IP Anomaliya protokolu velika kilkist pidklyuchen na odin z odnogo portu TCP UDP Anomaliya protokolu velika kilkist pidklyuchen na odnu z odniyeyi IP adresi Viyavlennya virusu Anomaliya propusknoyi zdatnosti Viyavlennya anomalnoyi chastki pidklyuchenKomercijni produkti Allot Communications DDoS Protection NSI Arbor Network Security Intelligence StealthWatch z 2001 IBM QRadar z 2003 Enterasys Dragon vbudovnij Application Performance Score APS Application Performance Metric APM SLA ta Adaptive Response Flowmon ADS FlowNBA NetFlow STRM McAfee McAfee Network Threat Behavior Analysis PacketSled PacketSled PathSolutions VoIP and Network Performance Manager Scrutinizer Network Immunity Manager Redsocks The RedSocks Probe Riverbed Cascade SmartFlow Sourcefire Sourcefire 3D Symantec Symantec Advanced Threat Protection ThreatSecure Network Mendel kolishnij Threat Intelligence ManageEngine NetFlow Analyzer s Advanced Security Analytics Module Microsoft Windows Defender ATP ta Advanced Threat AnalyticsPrimitki PDF Arhiv originalu PDF za 10 chervnya 2014 Procitovano 9 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya Arhiv originalu za 4 serpnya 2013 Procitovano 9 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya Arhiv originalu za 1 grudnya 2017 Procitovano 9 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya Arhiv originalu za 29 serpnya 2015 Procitovano 9 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya Arhiv originalu za 7 lyutogo 2018 Procitovano 9 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya www greycortex com Arhiv originalu za 9 kvitnya 2018 Procitovano 29 chervnya 2016 Div takozhAnaliz povedinki koristuvachiv en NetflowPosilannyaNetwork Event Detection With Entropy Measures 13 kvitnya 2016 u Wayback Machine Dr Raimund Eimann University of Auckland PDF 5993 kB Flowmon Networks Network Behavior Analysis amp Anomaly Detection 16 veresnya 2018 u Wayback Machine