Printable View
Вопрос может вам покажется и глупым. Как можно создать (принцип) в режиме on-line детектирование вирусной атаки, обращаю внимание не червей а именно вирусов. Ведутся ли компаниями такие разработки. Может кто то что то слышал. Может есть что то наподобие [url]http://www.commtouch.com/site/ResearchLab/map.asp[/url] но по Dos, Ddos атакам. Реальная аналитика. Хотелось бы услышать не флейм а реальные технологии или размышления.
Если я не ошибаюсь есть нечто подобное у Панды - [url]http://enterprises.pandasoftware.com/virus_info/map/map.htm[/url]
Хотя что понимается под [b]"а именно вирусов"[/b] какого рода атака ? Тотальное заражение или нашествие червей использующих заражение компьютеров с использованием уязвимостей или заражение путём заваливанием вирусами по "Email" ? У вас в почтовом антивирусе есть "доносчик" о пойманных вирусах, если его не отключили, можно собирать с него данные, построить саму карту проблем особых не составит, по IP адресу "отчитавшихся" о заражении можно определить расположение, а нарисовать карту проблема чисто техническая. В сервер защиты корпоративной версии Панды встроен примерно такой-же "доносчик" как и у Вас в почтовом сервере, на его основании его отчётов похоже и строится VirusMap.
[QUOTE=RiC]У вас в почтовом антивирусе есть "доносчик" о пойманных вирусах, если его не отключили, можно собирать с него данные[/QUOTE]
Данные почтовиков собираются, и увидеть их можно там: [url]http://stat.drweb.com/[/url] , а вопрос как я понял, именно о том как контролировать и учитывать паразитный трафик... а для этого нужно внедряться в фаерволы, шлюзы, итд...
Наверное я не так выразился.На панде что то похожее есть но все строится на базе одного антивируса (на сайте панды), и выдается активность почтовых червей и карта строится на базе посылки уведомлений от пользователей (как я понял), на сайте [url]http://stat.drweb.com/[/url] статистика идет с почтовиков тоже не то.
Пример что требуется: есть сайт [url]www.qqqq.qq[/url], на него была совершена атака (какая неважно), после чего был в организации qqq был найдет вредоносный код (новый, но с подобной сигнатурой). Требуется отображать на карте мира в режиме on-line откуда идет атака, откуда происходит заброска червя на сайт qqq.qq, но только не для одного сайта, а для тех на кого ведется атака не для одного вредоносного кода, а для подобных сигнатур. Грубо сказать такой мега сниффер. Оговорюсь сразу договоров между провайдерами верхнего уровня не существует, а доступ для мониторинга основных 11 DNS невозможен.
Что можно придумать
[QUOTE=shu_b]Данные почтовиков собираются, и увидеть их можно там: [url]http://stat.drweb.com/[/url] , а вопрос как я понял, именно о том как контролировать и учитывать паразитный трафик... а для этого нужно внедряться в фаерволы, шлюзы, итд...[/QUOTE]
Собственно схема та-же, заражение - лог - сбор статистики, но для этого надо иметь более "развитый" продукт с поддержкой "антивирусной защиты" всяких прокси, фаерволов и т.д. и т.п.
Кстати можно "встроиться" сюда -
[url]http://www.kerio.com/kwf_antivirus.html[/url] программа является весьма популярной, у учётом наличия "в кармане" универсального ядра написать модуль стыковки больших трудозатрат представлять не должно. Так-же нужны модули (ака сборщики статистики) для других популярных программ - Exchange, ISA server, Lotus - чем обширнее база "агентов", тем больше сборщиков статистики и популярнее представляемый продукт, сосредоточенность на чистом антивирусе в текущий момент тупиковый путь, или интеграция с другими или создание своих решений - Фаервол, антиспам, шлюзов (Cisco) и т.д. ...
[QUOTE]Пример что требуется: есть сайт [url]www.qqqq.qq[/url], на него была совершена атака (какая неважно), после чего был в организации qqq был найдет вредоносный код (новый, но с подобной сигнатурой). Требуется отображать на карте мира в режиме on-line откуда идет атака, откуда происходит заброска червя на сайт qqq.qq, но только не для одного сайта, а для тех на кого ведется атака не для одного вредоносного кода, а для подобных сигнатур. Грубо сказать такой мега сниффер. Оговорюсь сразу договоров между провайдерами верхнего уровня не существует, а доступ для мониторинга основных 11 DNS невозможен.[/QUOTE]
Наверное продукт для мониторинга Cisco и подобие спайдера для Web Серверов, может какие - нибудь варианты для провайдеров с обменом статистики на скидки Imho. Каналы снифить наверное не выйдет.