Майкл Коллинз - Защита сетей. Подход на основе анализа данных

мониторинга является выяснение, какое программное обеспечение поддержки безопасности в настоящее
время установлено и действует. Обычно эти системы идентифицируются по отсутствию трафика. Например, если ни один из хостов в сети не порождает трафика BitTorrent (порты 6881–6889), вероятно, маршрутизатор блокирует трафик
BitTorrent.

обновление оПиСи: к неПрерывному аудиту
После создания начальной описи организуйте регулярный запуск всех сценариев
анализа, которые вы написали. Цель этого действа состоит в том, чтобы организовать регулярное выявление изменений в сети.
Наличие актуальной описи упрощает обнаружение аномалий. Первый и наиболее очевидный подход – проверять наличие изменений в описи. Вот примеры
вопросов, на которые вы должны регулярно отвечать:
 Появились ли новые клиенты и/или серверы?
 Ушли ли какие­либо адреса в темную область?
 Появились ли новые сервисы на клиентах?
Изменения в описи можно использовать для определения необходимости проведения других видов анализа. Например, когда в сети появляется новый клиент
или сервер, можно проанализировать его трафик, чтобы увидеть, с кем он общается, выполнить процедуру сканирования или как­то иначе поэкспериментировать с хостом, чтобы заполнить опись информацией о новом узле сети.
В долгосрочной перспективе мониторинг известных адресов является залогом
надежной защиты сети. Невозможно сказать, что «хост X более защищен, чем
хост Y»; у нас просто нет возможности количественно оценить защищенность X.
1

Теперь желательно там, где подают крепкие напитки.

304  Сетевое картирование
Работая с картой сети, можно оценить охват мониторингом либо в абсолютном
выражении (из X адресов в сети Y охвачены мониторингом), либо в процентном.

доПолнительные материалы для чтения
1. Умеш Шанкар и Верн Паксон (Umesh Shankar and Vern Paxson). Активное отображение: сопротивление уклонению NIDS без изменения трафика: продолжения симпозиума IEEE 2003 года по безопасности и конфиденциальности.
2. Остин Уиснант и Сид Фабер (Austin Whisnant and Sid Faber). Программирование сети с использованием потока. CMU/SEI­2012­TR­006, Институт программной инженерии.

Предметный указатель
A

И

Б

К

Адреса IPv4 154
Адреса MAC 151
Адреса шлюза 154
Алгоритм журналирования 56
Альтернативная гипотеза (H1) 130
Антивирусные системы 138
Асимметричный поток трафика 293
Атрибуты центрированности 263
Бесклассовая адресация 46
Библиотеку GeoIP 186
Блок Classless Internet Domain Routing
(CIDR) 154

В

Вектор R 113
Виды адресов 40
Виды атак 29
Волоконно­оптический канал 46
Время жизни пакета данных 39

Г

Гистограмма 197
Граф 257

Д

Датчики
сервиса 51
хоста 51
Действие сенсора 30
Домен коллизий 36

Ж

Журнал безопасности 54
Журналы
Windows 53
Журналы хоста 36

З

Записи NS 168
Записи SOA 169
Записи почтового обмена (MX) 167

Иерархия устройства хранения
данных 77
Инструмент rwcut 83
Инструмент преобразования пакета
данных в поток 108
Инструменты распределенного
запроса 69
Инструменты форматирования 85

Кадры данных 122
Каноническое имя (CNAME) 167
Карта префикса SiLK (PMAP) 104
Карта сети 225
Квартет Энскомба 192
Консоль R 111
Комитет по цифровым адресам
в интернете (IANA) 156
Коэффициент кластеризации 267
Кратчайшие пути 261

Л

Логарифмическое
масштабирование 212
Ложноотрицательный уровень 138
Ложноположительный уровень 138
Локальность 242

М

Маршрутизация 38
Маршрутизируемый трафик в IPv6 156
Метод EDA 195
Модели нападения 218
Модель Pareto 244
Модель TCP/IP 34

Н

Национальная база данных
уязвимости (NVD) 186
Нулевая гипотеза 130

О

Область обзора
сети 33

306 

Сетевое картирование

Область обзора
сенсора 24
Обратное рассеяние 226
Обратный поиск 169
Отличие между IPv4 и IPv6 155
Отражение DNS 251
Отчет однонаправленных потоков 294
Ошибка тарифной ставки 142

Фильтрация
по времени жизни 45
по протоколам 45
Фильтрация по адресу 90
Формат журнала HTTP
Формат журнала
HTML 58
Функции визуализации R 125

П

Х

Пакетный фильтр Беркли (BPF) 43
Пакеты TCP SYN 226
Парадигма CRUD 69
Парадигма MapReduce 72
Протокол определения
адресов (ARP) 153
Пятичисловая сводка 202

Р

Рабочий набор 243
Разрушительность 148
Ротация файла журнала 65

С

Связанный компонент 266
Сервис UDP 228
Сетевая модель OSI 34
Сетевой сенсор 33
Сетевые журналы 51
Системный журнал --">