Вопрос может вам покажется и глупым. Как можно создать (принцип) в режиме on-line детектирование вирусной атаки, обращаю внимание не червей а именно вирусов. Ведутся ли компаниями такие разработки. Может кто то что то слышал. Может есть что то наподобие http://www.commtouch.com/site/ResearchLab/map.asp но по Dos, Ddos атакам. Реальная аналитика. Хотелось бы услышать не флейм а реальные технологии или размышления.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если я не ошибаюсь есть нечто подобное у Панды - http://enterprises.pandasoftware.com...fo/map/map.htm
Хотя что понимается под "а именно вирусов" какого рода атака ? Тотальное заражение или нашествие червей использующих заражение компьютеров с использованием уязвимостей или заражение путём заваливанием вирусами по "Email" ? У вас в почтовом антивирусе есть "доносчик" о пойманных вирусах, если его не отключили, можно собирать с него данные, построить саму карту проблем особых не составит, по IP адресу "отчитавшихся" о заражении можно определить расположение, а нарисовать карту проблема чисто техническая. В сервер защиты корпоративной версии Панды встроен примерно такой-же "доносчик" как и у Вас в почтовом сервере, на его основании его отчётов похоже и строится VirusMap.
Данные почтовиков собираются, и увидеть их можно там: http://stat.drweb.com/ , а вопрос как я понял, именно о том как контролировать и учитывать паразитный трафик... а для этого нужно внедряться в фаерволы, шлюзы, итд...Сообщение от RiC
Наверное я не так выразился.На панде что то похожее есть но все строится на базе одного антивируса (на сайте панды), и выдается активность почтовых червей и карта строится на базе посылки уведомлений от пользователей (как я понял), на сайте http://stat.drweb.com/ статистика идет с почтовиков тоже не то.
Пример что требуется: есть сайт www.qqqq.qq, на него была совершена атака (какая неважно), после чего был в организации qqq был найдет вредоносный код (новый, но с подобной сигнатурой). Требуется отображать на карте мира в режиме on-line откуда идет атака, откуда происходит заброска червя на сайт qqq.qq, но только не для одного сайта, а для тех на кого ведется атака не для одного вредоносного кода, а для подобных сигнатур. Грубо сказать такой мега сниффер. Оговорюсь сразу договоров между провайдерами верхнего уровня не существует, а доступ для мониторинга основных 11 DNS невозможен.
Что можно придумать
Собственно схема та-же, заражение - лог - сбор статистики, но для этого надо иметь более "развитый" продукт с поддержкой "антивирусной защиты" всяких прокси, фаерволов и т.д. и т.п.
Кстати можно "встроиться" сюда -
http://www.kerio.com/kwf_antivirus.html программа является весьма популярной, у учётом наличия "в кармане" универсального ядра написать модуль стыковки больших трудозатрат представлять не должно. Так-же нужны модули (ака сборщики статистики) для других популярных программ - Exchange, ISA server, Lotus - чем обширнее база "агентов", тем больше сборщиков статистики и популярнее представляемый продукт, сосредоточенность на чистом антивирусе в текущий момент тупиковый путь, или интеграция с другими или создание своих решений - Фаервол, антиспам, шлюзов (Cisco) и т.д. ...
Наверное продукт для мониторинга Cisco и подобие спайдера для Web Серверов, может какие - нибудь варианты для провайдеров с обменом статистики на скидки Imho. Каналы снифить наверное не выйдет.Пример что требуется: есть сайт www.qqqq.qq, на него была совершена атака (какая неважно), после чего был в организации qqq был найдет вредоносный код (новый, но с подобной сигнатурой). Требуется отображать на карте мира в режиме on-line откуда идет атака, откуда происходит заброска червя на сайт qqq.qq, но только не для одного сайта, а для тех на кого ведется атака не для одного вредоносного кода, а для подобных сигнатур. Грубо сказать такой мега сниффер. Оговорюсь сразу договоров между провайдерами верхнего уровня не существует, а доступ для мониторинга основных 11 DNS невозможен.
Последний раз редактировалось RiC; 19.08.2005 в 15:40.
Ваши права в разделе
