uk %D0%92%D0%B8%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%BD%D1%8F %D0%B0%D0%BD%D0%BE%D0%BC%D0%B0%D0%BB%D1%96%D0%B9 %D1%83 %D0%BC%D0%B5%D1%80%D0%B5%D0%B6%D0%B5%D0%B2%D1%96%D0%B9 %D0%BF%D0%BE%D0%B2%D0%B5%D0%B4%D1%96%D0%BD%D1%86%D1%96

Виявлення аномалій у мережевій поведінці (англ. Network behavior anomaly detection, NBAD) — підхід до виявлення загроз мережевій безпеці. Є одним з підходів до побудови мережевих систем виявлення вторгнень^[1]. Доповнює технологію систем що виявляють атаки на основі сигнатур пакетів. Також використовується антивірусним програмним забезпеченням та антишпигунським програмним забезпеченням.

Під час виявлення аномалій у мережевій поведінці проводиться безперервний моніторинг мережі на наявність незвичних подій або тенденцій.

Опис

Системи, які використовують виявлення аномалій у мережевій поведінці, можуть бути корисними у виявленні загроз, там де сигнатурний аналіз не може дати результатів, а саме:

при загрозах нульового дня;
коли трафік зашифрований, як-то передача даних на командний сервер у ботнетах.

Система відслідковує критичні характеристики мережі у реальному часі і формує сигнал тривоги при виявленні дивної події, яка може свідчити про наявність загрози. Приклади таких характеристик включають обсяг трафіку, використання смуги пропускання та використання протоколів.^[2]

Системи виявлення аномалій у мережевій поведінці також відслідковують поведінку окремих вузлів мережі. Зазвичай системи виявлення аномалій у мережевій поведінці є ефективними, якщо нормальна поведінка у мережі є сталою протягом довгого часу. Тоді деякі параметри визнаються нормальними, тоді як усі відхилення — аномалією.

Системи виявлення аномалій у мережевій поведінці повинні використовуватись разом зі звичайними мережевими екранами та застосунками для виявлення шкідливих програм. Деякі виробники визнають, що системи виявлення аномалій у мережевій поведінці є частиною їх рішень з мережевої безпеки.

Системи виявлення аномалій у мережевій поведінці використовують аналіз журналів реєстрації подій, аналіз пакетів, моніторинг мережевих потоків та аналіз маршрутів.

Порівняння

Переваги

До переваг підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

можливість виявлення раніше невідомих загроз (загроз нульового дня);
відсутність необхідності підтримувати сигнатури у актуальному стані.

Недоліки

До недоліків підходу виявлення аномалій у мережевій поведінці у порівнянні з сигнатурним аналізом відносяться:

наявність хибно позитивних спрацьовувань при певних нестандартних, але допустимих ситуаціях (наприклад зростання трафіку у при підготовці річного звіту);
у окремих випадках необхідність «навчання» для створення шаблонів нормальної поведінки у мережі.

Комерційні продукти

Allot Communications(інші мови)^[3] — Allot Communications DDoS Protection
Arbor Networks(інші мови) NSI^[4] — Arbor Network Security Intelligence
Lancope(інші мови) — StealthWatch (з 2001)
IBM — QRadar (з 2003)
Enterasys Networks(інші мови) — Enterasys Dragon
Exinda(інші мови) — вбудовний (Application Performance Score (APS), Application Performance Metric (APM), SLA, та Adaptive Response)
Extrahop(інші мови)
FlowTraq
Flowmon Networks(інші мови) -^[5] — Flowmon ADS
FlowNBA — NetFlow
Juniper Networks(інші мови) — STRM
Lastline(інші мови)
McAfee — McAfee Network Threat Behavior Analysis
PacketSled — PacketSled
PathSolutions — PathSolutions VoIP and Network Performance Manager
Plixer International — Scrutinizer
HP ProCurve(інші мови) — Network Immunity Manager
Redsocks — The RedSocks Probe
Riverbed Technology(інші мови) — Riverbed Cascade
Solana Networks(інші мови) — SmartFlow
Sourcefire — Sourcefire 3D
Symantec — Symantec Advanced Threat Protection
ThreatTrack(інші мови) — ThreatSecure Network
GreyCortex(інші мови) — Mendel^[6] (колишній TrustPort(інші мови) Threat Intelligence)
ZOHO Corporation(інші мови) — ManageEngine NetFlow Analyzer's Advanced Security Analytics Module
Microsoft — Windows Defender ATP та Advanced Threat Analytics

Примітки

↑ Архівована копія (PDF). Архів оригіналу (PDF) за 10 червня 2014. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
↑ Архівована копія. Архів оригіналу за 4 серпня 2013. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
↑ Архівована копія. Архів оригіналу за 1 грудня 2017. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
↑ Архівована копія. Архів оригіналу за 29 серпня 2015. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
↑ Архівована копія. Архів оригіналу за 7 лютого 2018. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
↑ GreyCortex | Advanced Network Traffic Analysis. www.greycortex.com. Архів оригіналу за 9 квітня 2018. Процитовано 29 червня 2016.

Див. також

Посилання

Network Event Detection With Entropy Measures [Архівовано 13 квітня 2016 у Wayback Machine.], Dr. Raimund Eimann, University of Auckland, PDF; 5993 kB
Flowmon Networks — Network Behavior Analysis & Anomaly Detection [Архівовано 16 вересня 2018 у Wayback Machine.]

[1] Архівована копія (PDF). Архів оригіналу (PDF) за 10 червня 2014. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[2] Архівована копія. Архів оригіналу за 4 серпня 2013. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[3] Архівована копія. Архів оригіналу за 1 грудня 2017. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[4] Архівована копія. Архів оригіналу за 29 серпня 2015. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[5] Архівована копія. Архів оригіналу за 7 лютого 2018. Процитовано 9 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[6] GreyCortex | Advanced Network Traffic Analysis. www.greycortex.com. Архів оригіналу за 9 квітня 2018. Процитовано 29 червня 2016.

[1]

[2]

[3]

[4]

[5]

[6]

Виявлення аномалій у мережевій поведінці