OSSIM讓網絡攻擊無所遁形

OSSIM讓網絡攻擊無所遁形

 

現在網絡安全事件的複雜程度不斷攀升，從傳統的病毒到蠕蟲、木馬的過程，這是一種網絡威脅進化的過程，你再用傳統的監控工具就OUT了。要想對抗攻擊，首先須要發現攻擊，經過抓包的常規作法比較滯後，並且也只能發現局部問題，已不知足咱們對可視化網絡安全運維的須要,你選擇的多數軟件都沒法知足對網絡攻擊可視化的需求。若想更佳方便的發現網絡異常，這裏咱們仍是使用OSSIM平臺，下面看幾個網絡常見的攻擊類型和OSSIM對策：

 

 

1. ICMP攻擊
主要包括利用大量ICMP Redirect包修改系統路由表的攻擊和使用ICMP協議實施的拒絕服務攻擊.

 

2.掃描攻擊- nmap掃描

 

聚合後的事件

 

3.特洛伊木馬攻擊

最先的Zeusbot經過直接與它的C&C服務器進行通訊來下載配置數據和上傳竊取的信息。

 

 

4.蠕蟲攻擊，例如Win32.Koobface.AC

Win32.Koobface.AC是一種經過Facebook社交網站進行傳播的蠕蟲.它經過發送信息到被感染用戶社交網站上的聯繫列表進行傳播。如您看不懂這些也可先查詢惡意代碼知識百科

 

5. 檢查出感染惡意軟件

 

6.發現掛馬攻擊 EK是ExploitKit的縮寫，表示Angler釣魚工具套件或工具包

 

7.發現用指令控制服務器C&C（控制僵屍網絡）

 

8.發覺疑似MySQL攻擊

 

9. 實現手法

    這種識別技術源於旁路監聽，即採用將網卡設置爲混雜模式接入Switch鏡像口的方式實現網絡設局的實時旁路捕獲，並對所得到的網絡數據進行檢測，它的基礎就在於NIDS基本體制。在NIDS中採用了基於精細的協議解析分流網絡數據，經過一些小特徵庫進行並行匹配，因爲在Snort時代是單線程處理，因此係統的效率瓶頸問題一直是匹配速度問題，目前升級到Suricata後狀況有所緩解。NIDS檢測的速度和檢測顆粒度就跟協議解析深度、特徵匹配的速度以及特徵庫的質量息息相關。從某種角度上看OSSIM是一個網絡病毒傳播的監控系統，核心功能之一是在OSSIM中用到了關聯分析引擎搭配中間件和緩存系統輔助，要了解詳情請參考《開源安全運維平臺-OSSIM最佳實踐》一書。