Показано с 1 по 16 из 16.

Cетевая система обнаружения инфицированных компьютеров - INFER

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Cетевая система обнаружения инфицированных компьютеров - INFER

    Руководители IT-департаментов должны перестать фокусироваться на системах обнаружения и предотвращения вторжений, сосредоточившись вместо этого на тех компьютерах сети, которые уже скомпрометированы киберпреступниками. Именно такой совет дал профессор Нью-Йоркского университета, предложивший инновационный подход к обнаружению зараженных машин во внутренних сетях.

    Назир Мемон, профессор Политехнического института при Нью-Йоркском университете, разработал сетевую систему обнаружения инфицированных компьютеров в больших сетях. В ходе своего выступления на конференции Cyber Infrastructure Protection Conference он подчеркнул, что при создании системы команда разработчиков исходила из того, что зараженные компьютеры уже находятся внутри сети.

    Система под названием INFER спроектирована для того, чтобы обнаруживать целенаправленные скрытые атаки, которые иностранные государства или киберпреступники предпринимают против корпоративных или правительственных сетей. Такие медленно развивающиеся атаки трудно обнаружить средствами традиционных антивирусов, файерволов и систем предотвращения вторжений, поскольку они сконцентрированы на противодействии известным вредоносным приложениям, пытающимся попасть во внутреннюю сеть.

    Система INFER, напротив, концентрируется на тех опасных программах, которые уже попали в сеть, и использует средства обнаружения, расположенные за роутерами и свитчами для пассивного мониторинга трафика и обобщения полученных результатов. INFER имеет встроенный механизм обработки данных, позволяющий анализировать информацию и искать зараженные машины. Консоль INFER позволяет высвечивать Top 10 хостов, которые кажутся инфицированными с наибольшей степенью вероятности.

    INFER не ищет известные приложения или способы атаки, не использует сигнатуры и шаблоны поведения – она обнаруживает компьютеры, демонстрирующие признаки того что они заражены, причем не важно, чем именно. Среди таких признаков – замедление работы, частые перезагрузки, переподключения DNS, а также использование хоста в качестве ретранслятора или прокси.

    Политехнический институт использовал INFER на протяжении двух лет для отслеживания поведения трех тысяч компьютеров внутренней сети. По словам Мемона, ботнеты выявлялись каждый день, после чего исследователи уведомляли IT-персонал об их наличии. Профессор и его студенты создали компанию Vivic, целью которой является коммерциализация разработки. Первым платным клиентом стала Исследовательская лаборатория армии США, которая планирует применять INFER для своей программы мониторинга сети под названием Interrogator.

    http://www.networkworld.com/news/200...r.html?hpg1=bn

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    204
    эх посмотреть бы как оно работает ((

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Hanson Посмотреть сообщение
    эх посмотреть бы как оно работает ((
    У меня такая штука уже 5 лет применяется

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    204
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    У меня такая штука уже 5 лет применяется
    у тебя она 5 лет уже(собственной разработки ???), а они только разработали???

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Hanson Посмотреть сообщение
    у тебя она 5 лет уже(собственной разработки ???), а они только разработали???
    разработка собственная, идея даже более глобальная чем описанная. Экую они "америку" открыли ... идея лежит на поверхности, есть два метода обнаружения зараженного ПК
    1."Сигнатурный". Т.е. ищется сигнатура зловреда, его характерных частей, используется некая "эвристическая сигнатура" - т.е. например поиск зловреда по характерным поведенческим особенностям, результатам его эмуляции и т.п.
    2. "Метод отклонений и аномалий". Т.е. вместо поиска зверя просто выделяем проблемы и аномалии любого типа. Например, компьютер вдруг стал долбить какие-то сайты в Инет запросами, слать какие-то странные DNS запросы, стал сканировать сеть, перезагружаться чащем в среднем по статистике, на нем появились странные неопознанные файлы, процессы, перехваты или элементы автозапуска, новые сетевые подключения, расшаренные папки, открытые порты и т.п. Это может быть и не вирус, но именно аномалия. Аномалии такого класса можно искать в рамках одного ПК (сравнивая его состояние во времени, например сегодня и неделю назад) или его с другими ПК (что в корпоративной среде довольно удобно виду шаблонности всех настроек и однотипности ПО)

    У меня применяется метод 1+2 (без антивируса никак, ибо он закроет 99% проблем), как следствие легко ловить не только неизвестные вирусы, но и всякие нарушения (такие как самовольную установку и применение стороннего ПО, действие троянских закладок в программах, считающихся легитимными ... всякие шалости юзеров с сетью, безобразия типа подключения мобильников для выхода в сеть и т.п.). Аналогично ловятся злоупотребления с Инет (вылавливается и прорабатывается первые 5-15 пользователей с разными аномалиями). Вообще это интересная тема, причем авторы описанной выше идеи в начале пути - пройдет еще пара лет исследований и они поймут, что захлебываются в аномалиях - и придут к идее базы чистых файлов, базы доверенных сайтов, и методов нечеткой логики типа нейрочетей, когнитивных карт и деревьев решений для того, чтобы разребать все это на автомате - выделяя важное и отсеивая "шум"

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    204
    И как то сразу начали бабло рубить
    Профессор и его студенты создали компанию Vivic, целью которой являетсякоммерциализация разработки. Первым платным клиентом сталаИсследовательская лаборатория армии США, которая планирует применятьINFER для своей программы мониторинга сети под названием Interrogator.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    204
    Олег, а есть ли подобные продукты, хочется посмотреть их в работе

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Hanson Посмотреть сообщение
    Олег, а есть ли подобные продукты, хочется посмотреть их в работе
    В публичном доступе - не думаю ... Тем не менее наш "кибер" есть ни что иное как одна из секций моей системы обнаружения аномалий (ему же нет принципиальной разницы, откуда идут карантины - если их собирать со всех ПК некоей ЛВС - то получим поиск аномалий и закономерностей в этой ЛВС)

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    204
    кибер штука хорошая канешно,
    но как анализ карантинов выявит аномалии в ЛВС??

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Hanson Посмотреть сообщение
    кибер штука хорошая канешно,
    но как анализ карантинов выявит аномалии в ЛВС??
    Если на всех ПК ЛВС ежедневно снимать автокарантин и логи, и обрабатывать результаты, то
    1. все файлы быстро попадут в базу чистых, любой новый неопознаный файл тут-же "засветится"
    2. Нетрудно составить реестр разрешенного ПО - это упростит опознание всего нового
    Далее любая аномалия - сигнал для разборки. И либо это что-то нехорошее, либо пополнится база чистых. Получаем взгляд на проблему с одной стороны. Далее смотрим с другой - статистику Интернет, почты, данные с ловушек и сканеров сети, информацию о проблемах с каналами в плане их нагрузки - если все это увязать вместе, то можно делать интересные выводы и оперативно реагировать на ситуацию.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    204
    а каким образом я могу ежедневно (ну или хотябы еженедельно) проверять примерно 150 карантинов и логов?
    кибер веть проверяет логи и карантины раздела помогите только

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Hanson Посмотреть сообщение
    а каким образом я могу ежедневно (ну или хотябы еженедельно) проверять примерно 150 карантинов и логов?
    кибер веть проверяет логи и карантины раздела помогите только
    Это у нас он проверяет только карантины из "Помогите", а у меня он проверяет еще как минимум 500-1500 карантинов и логов в день из моей сети. Идея дать возможность подключения к системе сетей крупных заказчиков давно продумывется, но на ее разработку нужно время

  14. #13
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    действие троянских закладок в программах, считающихся легитимными ...
    Олег, по-моему это очень интересная тема. Может дадите ей развитие в какой-нибудь статье?..
    Например просто описание закладок, какие бывают, где чаще, в каких программах встречались + сделали бы пару сенсаций - наверняка в достаточно известных программ есть троянские вкладки...
    Просто эта тема вообще мало освещена.

    Лично мне лишь пару раз попадались вроде вполне легитимные программы с троянскими вкладками (я не говорю о программах-фейках). Один раз попался ICQ-бот который помимо того, что мог работать автоответчиком и прочим и прочим еще по приходе определенного асику-сообщения отправлял логин и пароль от аси на тот номер от которого пришло это сообщение.
    Еще встречался мейл-клиент - он не только отправлял письмо, но еще и отправлял логин и пароль на мыло хакеру.

    Это если говорить о обычных программах. А если говорить о хак-тулзах различных, то там закладки чуть ли не в каждой пятой - "вор у вора дубинку украл" выходит
    // ...

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от priv8v Посмотреть сообщение
    Олег, по-моему это очень интересная тема. Может дадите ей развитие в какой-нибудь статье?..
    Например просто описание закладок, какие бывают, где чаще, в каких программах встречались + сделали бы пару сенсаций - наверняка в достаточно известных программ есть троянские вкладки...
    Просто эта тема вообще мало освещена.

    Лично мне лишь пару раз попадались вроде вполне легитимные программы с троянскими вкладками (я не говорю о программах-фейках). Один раз попался ICQ-бот который помимо того, что мог работать автоответчиком и прочим и прочим еще по приходе определенного асику-сообщения отправлял логин и пароль от аси на тот номер от которого пришло это сообщение.
    Еще встречался мейл-клиент - он не только отправлял письмо, но еще и отправлял логин и пароль на мыло хакеру.

    Это если говорить о обычных программах. А если говорить о хак-тулзах различных, то там закладки чуть ли не в каждой пятой - "вор у вора дубинку украл" выходит
    Про статью нужно подумать ... если руки дойдут, то напишу. Идея на самом деле имеет еще более интересное продолжение - если к такой системе привернуть нечеткую логику (нейросети, деревья решений, когнитивные карты и т.п.), то можно получить обратную связь, т.е. система сама будет саморегулироваться - например, отключать Инет провинившимся юзерам, давать советы админам и т.п. У меня это есть, и поэтому "закладные" на злобных нарушителей начинаются фразой "<дата и время> системой автоматического мониторинга было зафиксировано, что ... "
    Насчет закладок - такое попадается, но чаще попадается головотяпство разработчиков, приводящее к тому, что вполне лелитимную программу можно применять как троян. Это четко видно в данных моего мониторинга, но побликовать я это не хочу - так как эти данные могут привести к взлому сетей, т.е. вреда от такой информации будет куда больше, чем пользы ...

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    но побликовать я это не хочу - так как эти данные могут привести к взлому сетей, т.е. вреда от такой информации будет куда больше, чем пользы ...
    Приведу простой и понятный пример:
    RAdmin - во первых, удаленное администрирование.
    Во вторых - в версиях 2.Х были обнаружены ошибки в алгоритмах шифрования.
    Имеем: где установлена эта прога - можно "захватить" машину.
    Это вроде легитимная программа - но можно применить как троян.

    Можно вспомнить mIRC: комманды исполняет - бекдур.
    С сетью общается..

    Это на вскидку и "без раскрытия каких-либо" данных)))
    The worst foe lies within the self...

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1240
    Про статью нужно подумать ... если руки дойдут, то напишу.
    ...
    Это четко видно в данных моего мониторинга, но побликовать я это не хочу - так как эти данные могут привести к взлому сетей, т.е. вреда от такой информации будет куда больше, чем пользы ...
    Можно написать и так, что бы опасной инфы не было.
    Предлагаю возможное развитие скелета статьи о троянских закладках и головотяпстве кодеров, допускающих использование их тулз как троянов:

    #############################
    1). ...Intro...
    2). Говорим про использование легитимных программ в качестве троянов (использование их библиотек, возможность запуска с параметрами через которые можно осуществлять практически все что угодно, возможность подключения сторонних либ (плагинов, аддонов), которым предоставляется неограниченная власть как над программой и в ней, так и в системе.
    3). Рассуждения о уязвимостях в легитимном ПО, которые ведут выполнению чужого кода и вообще к выполнению чего-то.
    4). Троянские закладки от хакеров путем изменения ими вполне легитимных программ (тут можно выделить два метода правки кода - добавление новой секции и небольшие модификации уже имеющегося кода).
    5). Буквально абзац о существовании джойнеров (чуть об их механизме и вообще о них).
    6). О том, что возможны троянские вкладки, сделанные самими программистами - т.е программа вроде и хорошая, но по определенной команде может начать делать совсем не то, что делает обычно. Порассуждать на эту тему с парой примеров.
    7). Упомянуть и о том, что многие вполне нормальные программы при их неумелом использовании дают открытую дорогу и зеленый свет малваре и/или хакерам на ПК (неумелые действия с ПО, неверная настройка)
    8). О мерах предосторожности
    9). ...outro
    #############################

    Все это я описал лишь в двух словах и очень примерно/приблизительно :)
    В общем, по-моему, тема интересная ...
    Последний раз редактировалось priv8v; 14.06.2009 в 21:49.
    // ...

Похожие темы

  1. Ответов: 3
    Последнее сообщение: 09.04.2010, 23:10
  2. Троян Spy Eye удаляет конкурентов с инфицированных компьютеров
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 10.02.2010, 13:03
  3. Ответов: 1
    Последнее сообщение: 12.11.2006, 17:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00725 seconds with 16 queries