Analizar anomalías de la red en busca de eventos malintencionados

Navega tus respuestas
3

Para un proyecto de seguridad de red, estamos listando en nuestro tráfico de red de aproximadamente 50-60 hosts. Nuestro objetivo es identificar eventos maliciosos en el tráfico de nuestra red mediante la identificación de anomalías en la red.

Nuestro objetivo principal es averiguar si existe alguna anomalía en nuestra red. Un caso especial sería detectar reinicios. ¿Cuál sería la ventaja de analizar las anomalías de la red frente al enfoque tradicional basado en firmas? o ¿qué podríamos encontrar de otra manera con esta información?

Nota: Por lo que sé, solo hay un poco de malware que reinicia la computadora. ¿Hay alguna anomalía que haga que un host se reinicie?

    
pregunta smttsp 16.01.2013 - 10:23
fuente

2 respuestas

1

Un problema de memoria puede causar un servidor a BSOD. Si su configuración para el BSOD es reiniciar automáticamente, entonces el servidor se reinicia.

Es posible que algunos programas maliciosos deban cargarse durante el inicio, por lo que el intruso puede desencadenar un reinicio de alguna manera.

Lee este artículo:

enlace

Muestra que los reinicios no solo son causados por personas maliciosas, sino por muchos problemas. Desde un punto de vista operativo, querría saber qué causó el reinicio para poder solucionarlo.

Además, la ventaja de detectar reinicios puede ser "porque nuestra industria lo requiere". Este artículo enlace y NIST SP 800-137 muestran algunos mandatos y pautas para el monitoreo continuo. Como un reinicio es un evento notable, querrá saber qué lo causó.

    
respondido por el Jeff 16.01.2013 - 13:25
fuente
1

Desde la perspectiva de la investigación, su pregunta tiene un uso muy limitado como lo mencionó Jeff. Lo que entiendo de su pregunta es que necesita conocer la aplicación de algoritmos de anomalía basados en red para detectar actividad de red maliciosa dentro de su red. En resumen, en la investigación se han propuesto diferentes algoritmos para capturar heurísticas de red para actividades de malware específicas. Pocos de ellos son

  1. TRW-CB (caminata aleatoria de umbral con límite de tasa basada en crédito): se observa una anomalía en la observación de que el número de conexiones de red realizadas por el nodo benigno es mucho menor en comparación con el nodo malicioso dentro de la red.
  2. Detector de entropía máximo: en este algoritmo, el tráfico de red se modela en diferentes clases para la estimación de entropía benigna y luego la divergencia de nuevos paquetes entrantes revelará una anomalía según el umbral establecido por el administrador de la red.
  3. Netad Un algoritmo de anomalía de red basado en reglas. Calcula un paquete de puntuación. Dependiendo de la hora y la frecuencia de cada byte dentro del paquete. Raro y novedoso A los valores de encabezado se les asignan puntuaciones altas. Se aplica un umbral en la puntuación de un paquete. para encontrar paquetes anómalos. [fuente Revisión de detección de anomalías de tráfico usando Redes definidas por software]
respondido por el Ali Ahmad 16.01.2013 - 14:59
fuente

Lea otras preguntas en las etiquetas

Entradas "WICKED" en los registros predeterminados de vhost de nginx ¿Por qué las AC en lugar de la base de datos global de huellas digitales?