问:我知道通过分析蠕虫的连接率/发包率可以追查蠕虫的来源。这些并非基于签名的技术有效吗?它们与网络行为异常检测(NBAD)产品有什么不同? 答:分析连接率和发包率是所谓的网络行为异常检测(NBAD)方法的一部分。Rootkits及其它形式的恶意软件擅于悄悄潜入最终用户系统并深藏其中,以致于各组织开始依靠基于网络的监测资源的帮助。 系统受恶意软件感染时,通常可以察觉到其交流模式发生了变化。
来看一下这个例子: 客户机常与服务器进行交流,而服务器却很少将信息返回给客户机,文件传输协议(FTP)等在被动模式中不采用的服务除外。……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我知道通过分析蠕虫的连接率/发包率可以追查蠕虫的来源。这些并非基于签名的技术有效吗?它们与网络行为异常检测(NBAD)产品有什么不同?
答:分析连接率和发包率是所谓的网络行为异常检测(NBAD)方法的一部分。Rootkits及其它形式的恶意软件擅于悄悄潜入最终用户系统并深藏其中,以致于各组织开始依靠基于网络的监测资源的帮助。
系统受恶意软件感染时,通常可以察觉到其交流模式发生了变化。来看一下这个例子:
客户机常与服务器进行交流,而服务器却很少将信息返回给客户机,文件传输协议(FTP)等在被动模式中不采用的服务除外。同样,客户机几乎从不与其它客户机交流,服务器也很少与其它服务器交流。因此,你拥有一种能够接受自动工具检查的良好模式。
被蠕虫或bot病毒感染时,客户端到客户端(client-to-client)的会话初始化通常会出现很大上升。正如你在问题中指出的那样,一台或几台受感染的计算机消耗的网络带宽可能会大量增加。连接初始化的次数也可能会大幅度增加。这些度量值都十分有益,且各种NBAD产品能检测其变化。基于网络的入侵防御系统、安全信息管理(SIM)产品、一些入侵检测系统以及分布式拒绝服务(DDoS)监测产品都具有这种能力。
除了这些产品,还有一些大型互联网项目可以检测网络异常。其中最出色的是由SANS研究机构的SANS Internet Storm Center管理的DShield项目。这个项目具有45,000多套由志愿者操作的探测器,分布于互联网各个角落。探测器会收集数据,并匿名发送给收集器。然后,相关软件和专门人员会分析产生的信息,包括通信会话及其使用的端口。DShield网站每天都会统计、更新世界前10大端口以及各种异常的会话活动。
作者
相关推荐
-
利用SIEM进行高级攻击检测的最佳实践
领先的SIEM平台已经经历了“大脑移植”,迁移到特定目的的数据存储,这些数据存储能够提供足够的性能和规模。
-
内网安全威胁重重 到底该如何检测防范
如今,许多客户通过在网络周边设置防火墙、在客户端PC上安装防病毒软件保护网络。不幸的是,他们的网络仍然易于遭受更高级的安全威胁(例如病毒和蠕虫), 因为大部分防火墙不能深入检测病毒特征码,更无法通过网络行为异常检测(NBAD)寻找具有攻击性的网络行为……
-
网络流量的异常检测
随着Internet的不断发展,网络安全已经逐渐成为人们越来越关心的问题,而入侵检测系统是继防火墙之后逐渐兴起的防护手段之一,也越来越受广大学者和工程人员的重视。
传统的入侵检测方法分为两种:基于误用检测(misused-based)方法和基于异常检测(anomaly-based)方法。