forum.opennet.ru - "OpenSource утилиты для обнаружения 'необычного поведения'" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenSource утилиты для обнаружения 'необычного поведения'"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenSource утилиты для обнаружения 'необычного поведения'"
Сообщение от IRoman (ok) on 19-Окт-08, 15:28
Пытаюсь найти утилиту, которая бы могла уведомлять администратора о "необычном поведении". Под необычным поведением понимается выход наблюдаемого параметра (например, количества запросов к сайту или DNS-серверу) за определенные границы. Т.к. параметров много и вручную всем пороги не выставить, хочется, чтобы утилита сама собирала статистику и, сравнивая предыдущие значения с текущими, била тревогу. Хочу ее приспособить для раннего обнаружения DDoS-атак (хотя бы на три минуты раньше, чем все успеет полечь) и некорректного поведения роботов, запрашивающих странички сайтов. Нет ли у кого на примете чего-то похожего?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

OpenSource утилиты для обнаружения 'необычного поведения', Pahanivo, 19:42 , 19-Окт-08, (1)

OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 21:05 , 19-Окт-08, (2)

OpenSource утилиты для обнаружения 'необычного поведения', Mikhail, 22:13 , 19-Окт-08, (3)

OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 09:32 , 20-Окт-08, (5)

OpenSource утилиты для обнаружения 'необычного поведения', Pahanivo, 22:59 , 19-Окт-08, (4)

OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 09:47 , 20-Окт-08, (6)

OpenSource утилиты для обнаружения 'необычного поведения', angra, 22:50 , 20-Окт-08, (7)

OpenSource утилиты для обнаружения 'необычного поведения', IRoman, 07:24 , 21-Окт-08, (8)

OpenSource утилиты для обнаружения 'необычного поведения', angra, 01:22 , 25-Окт-08, (9)

OpenSource утилиты для обнаружения 'необычного поведения', maxdukov, 11:01 , 29-Окт-08, (10)

OpenSource утилиты для обнаружения 'необычного поведения', maxdukov, 12:01 , 29-Окт-08, (11)
OpenSource утилиты для обнаружения 'необычного поведения', angra, 04:31 , 31-Окт-08, (12)

OpenSource утилиты для обнаружения 'необычного поведения', maxdukov, 11:43 , 31-Окт-08, (13)

OpenSource утилиты для обнаружения 'необычного поведения', angra, 17:58 , 31-Окт-08, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от Pahanivo (??) on 19-Окт-08, 19:42

"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.
Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort.
Не надо мешать мух и котлеты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от IRoman (ok) on 19-Окт-08, 21:05

>"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.
>Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort.
>Не надо мешать мух и котлеты.
Не вижу никаких причин, почему системы мониторинга параметров не могут обнаруживать атаки (тот же nagios может зафиксировать DDoS-атаку по целому ряду признаков). Вопрос не в том, как назвать, а в том, где взять. К сожалению, ни nagios, ни snort не способы справиться с поставленной задачей. У первого для всех тестов пороги задаются в конфигах, у второго - обнаружение атак по статичным сигнатурам. Возможно, я ошибаюсь, и знатоки snort-а укажут возможный способ.
Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его среднее значение. Если в какой-то момент отклонение от среднего значения оказывается значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал тревоги.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от Mikhail (??) on 19-Окт-08, 22:13

тот же Zenoss

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от IRoman (ok) on 20-Окт-08, 09:32

>тот же Zenoss
Если не сложно, ткните пальцем в мануал, где написано, как он это умеет. Я с ним не работал, и архитектуру его слабо представляю. В руководстве http://www.zenoss.com/community/docs/zenoss-guide/2.2.4/ не нашел ничего похожего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от Pahanivo (??) on 19-Окт-08, 22:59

>Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его
>среднее значение. Если в какой-то момент отклонение от среднего значения оказывается
>значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал
>тревоги.
Я никогда не сталкивался с системами обнаружения, но зная теорию - это собственно основной принцип подобного рода систем )
Что можно вообще отловить "статическими сигнатурами" )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от IRoman (ok) on 20-Окт-08, 09:47

>Я никогда не сталкивался с системами обнаружения, но зная теорию - это
>собственно основной принцип подобного рода систем )
>Что можно вообще отловить "статическими сигнатурами" )
Обнаружение аномалий - совершенно точно не основной способ работы snort, а он позиционирует себя "the de facto standard for intrusion detection/prevention".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от angra (ok) on 20-Окт-08, 22:50

>У первого для всех тестов пороги задаются в конфигах,
И в каком месте это является проблемой?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от IRoman (ok) on 21-Окт-08, 07:24

>И в каком месте это является проблемой?
Вы первое сообщение топика читали или зашли отметиться в обсуждении?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от angra (ok) on 25-Окт-08, 01:22

Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что вы подразумеваете занесение пороговых значений в конфиги.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от maxdukov on 29-Окт-08, 11:01

>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что
>вы подразумеваете занесение пороговых значений в конфиги.
Нет, коллега спрашивает про весьма интересную вещь - определение атак не по сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно можно описать "пороговыми значениями" - но вся соль в том, что эти самые значения выставляются системой автоматически - после сбора статистики.
у Cisco это называется MARS.
GPL решения пока не видел

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от maxdukov on 29-Окт-08, 12:01

>>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что
>>вы подразумеваете занесение пороговых значений в конфиги.
>
>Нет, коллега спрашивает про весьма интересную вещь - определение атак не по
>сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно
>можно описать "пороговыми значениями" - но вся соль в том, что
>эти самые значения выставляются системой автоматически - после сбора статистики.
>у Cisco это называется MARS.
>GPL решения пока не видел
вру. поискал - и вот что нашел http://www.bro-ids.org/Features.html
Но сути обычная policy-based IDS. Но с функцией Anomaly-Based IDS.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от angra (ok) on 31-Окт-08, 04:31

Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова для всех параметров, ведь в общем случае любой параметр это вещественное число + история его изменения в БД.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от maxdukov on 31-Окт-08, 11:43

>Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что
>при первом взгляде кажется, что пороговые значения нужно заносить в конфиг,
>но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения
>и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова
>для всех параметров, ведь в общем случае любой параметр это вещественное
>число + история его изменения в БД.
не устраивает объемом "самописности".
Вы представляете себе мат-аппарат? способ определения весовых коэфицентов?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "OpenSource утилиты для обнаружения 'необычного поведения'"

Сообщение от angra (ok) on 31-Окт-08, 17:58

Ну вообще-то я математик по образованию :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenSource утилиты для обнаружения 'необычного поведения'"
Сообщение от Pahanivo (??) on 19-Окт-08, 19:42
"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios. Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort. Не надо мешать мух и котлеты.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от IRoman (ok) on 19-Окт-08, 21:05
	>"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios. >Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort. >Не надо мешать мух и котлеты. Не вижу никаких причин, почему системы мониторинга параметров не могут обнаруживать атаки (тот же nagios может зафиксировать DDoS-атаку по целому ряду признаков). Вопрос не в том, как назвать, а в том, где взять. К сожалению, ни nagios, ни snort не способы справиться с поставленной задачей. У первого для всех тестов пороги задаются в конфигах, у второго - обнаружение атак по статичным сигнатурам. Возможно, я ошибаюсь, и знатоки snort-а укажут возможный способ. Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его среднее значение. Если в какой-то момент отклонение от среднего значения оказывается значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал тревоги.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от Mikhail (??) on 19-Окт-08, 22:13
	тот же Zenoss
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от IRoman (ok) on 20-Окт-08, 09:32
	>тот же Zenoss Если не сложно, ткните пальцем в мануал, где написано, как он это умеет. Я с ним не работал, и архитектуру его слабо представляю. В руководстве http://www.zenoss.com/community/docs/zenoss-guide/2.2.4/ не нашел ничего похожего.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от Pahanivo (??) on 19-Окт-08, 22:59
	>Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его >среднее значение. Если в какой-то момент отклонение от среднего значения оказывается >значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал >тревоги. Я никогда не сталкивался с системами обнаружения, но зная теорию - это собственно основной принцип подобного рода систем ) Что можно вообще отловить "статическими сигнатурами" )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от IRoman (ok) on 20-Окт-08, 09:47
	>Я никогда не сталкивался с системами обнаружения, но зная теорию - это >собственно основной принцип подобного рода систем ) >Что можно вообще отловить "статическими сигнатурами" ) Обнаружение аномалий - совершенно точно не основной способ работы snort, а он позиционирует себя "the de facto standard for intrusion detection/prevention".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от angra (ok) on 20-Окт-08, 22:50
	>У первого для всех тестов пороги задаются в конфигах, И в каком месте это является проблемой?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от IRoman (ok) on 21-Окт-08, 07:24
	>И в каком месте это является проблемой? Вы первое сообщение топика читали или зашли отметиться в обсуждении?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от angra (ok) on 25-Окт-08, 01:22
	Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что вы подразумеваете занесение пороговых значений в конфиги.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от maxdukov on 29-Окт-08, 11:01
	>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что >вы подразумеваете занесение пороговых значений в конфиги. Нет, коллега спрашивает про весьма интересную вещь - определение атак не по сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно можно описать "пороговыми значениями" - но вся соль в том, что эти самые значения выставляются системой автоматически - после сбора статистики. у Cisco это называется MARS. GPL решения пока не видел
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от maxdukov on 29-Окт-08, 12:01
	>>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что >>вы подразумеваете занесение пороговых значений в конфиги. > >Нет, коллега спрашивает про весьма интересную вещь - определение атак не по >сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно >можно описать "пороговыми значениями" - но вся соль в том, что >эти самые значения выставляются системой автоматически - после сбора статистики. >у Cisco это называется MARS. >GPL решения пока не видел вру. поискал - и вот что нашел http://www.bro-ids.org/Features.html Но сути обычная policy-based IDS. Но с функцией Anomaly-Based IDS.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от angra (ok) on 31-Окт-08, 04:31
	Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова для всех параметров, ведь в общем случае любой параметр это вещественное число + история его изменения в БД.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от maxdukov on 31-Окт-08, 11:43
	>Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что >при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, >но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения >и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова >для всех параметров, ведь в общем случае любой параметр это вещественное >число + история его изменения в БД. не устраивает объемом "самописности". Вы представляете себе мат-аппарат? способ определения весовых коэфицентов?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "OpenSource утилиты для обнаружения 'необычного поведения'"
	Сообщение от angra (ok) on 31-Окт-08, 17:58
	Ну вообще-то я математик по образованию :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]