Netflow-based behavioral analysis
Привет, а знает кто-нибудь о существовании open-source / free продуктов, которые могут делать [realtime] netflow-based security analysis? Я вот нашел - - http://sourceforge.net/projects/yasemi/ - но оно какое-то полуживое, IMHO - версия 0.1 была выпущена в 2006-м году. - http://analysis-manifold.com/ - доступна для download'а alpha-версия и все. Не густо, прямо скажем. Может кто ткнет пальцем в более-менее рабочую систему? Спасибо -- /doka P.S. паходу нашел такую ссылку - http://www.mastersincriminaljustice.com/blog/2008/100-best-open-source-secur... похоже на произвольный сбор доступных линков (я, например, не склонен считать Thundebird и Firefox продуктами безопасности), но все-же может кто найдет там для себя чего полезного.
Hi! On Mon, Dec 22, 2008 at 11:21:27PM +0200, Vladimir Litovka writes:
а знает кто-нибудь о существовании open-source / free продуктов, которые могут делать [realtime] netflow-based security analysis?
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо. cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds -- Паша.
Pavel Gulchouck wrote:
Hi!
On Mon, Dec 22, 2008 at 11:21:27PM +0200, Vladimir Litovka writes:
а знает кто-нибудь о существовании open-source / free продуктов, которые могут делать [realtime] netflow-based security analysis?
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо.
cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds
А можете подсказать, каким алгоритмом делалось детектирование всплесков? или оно просто рапортует превыщение неких границ? -- With best regards, Gregory Edigarov
Gregory Edigarov wrote:
Pavel Gulchouck wrote:
Hi!
On Mon, Dec 22, 2008 at 11:21:27PM +0200, Vladimir Litovka writes:
а знает кто-нибудь о существовании open-source / free продуктов, которые могут делать [realtime] netflow-based security analysis?
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо.
cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds
А можете подсказать, каким алгоритмом делалось детектирование всплесков? или оно просто рапортует превыщение неких границ?
Уже поглядел в исходниках, спасибо. -- With best regards, Gregory Edigarov
On Tue, Dec 23, 2008 at 10:09:49AM +0200, Gregory Edigarov writes:
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо.
cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds
А можете подсказать, каким алгоритмом делалось детектирование всплесков? или оно просто рапортует превыщение неких границ?
Просто рапортует о превышении установленных в конфиге границ. Например, более, чем 10K udp pps на хост клиента с одного хоста в мире или более, чем 2K tcp syn pps на один порт одного хоста клиента. Детектировать всплески как аномалии - IMHO было бы слишком много ложных срабатываний, например, если где-то запустили видеоконференцию. -- Паша.
Ага, спасибо
2008/12/23 Pavel Gulchouck
Hi!
On Mon, Dec 22, 2008 at 11:21:27PM +0200, Vladimir Litovka writes:
а знает кто-нибудь о существовании open-source / free продуктов, которые могут делать [realtime] netflow-based security analysis?
Ну сильно-то по netflow трафик не проанализировать с точки зрения безопасности. Простое детектирование DoS/DDoS-атак (т.е. реакция на всплеск pps или bps, откуда/куда, tcp/udp/icmp, порты, syn flood) - я не нашёл, пришлось делать свою. Слушает netflow (full или sampled), собирает статистику, рапортует об аномалиях в лог, через tcp-chat или запуском внешнего процесса (например, отправки почты). Может вместо netflow слушать SPAN-порт, но это для более-менее серьёзных объёмов мало применимо.
cvs -d :pserver:cvs@happy.kiev.ua:/cvs co dds
-- Паша.
-- /doka
participants (3)
-
Gregory Edigarov -
Pavel Gulchouck -
Vladimir Litovka