Detektering av anomali av nätverksbeteende
Detektion av anomali av nätverksbeteende ( NBAD ) är en säkerhetsteknik som tillhandahåller upptäckt av hot mot nätverkssäkerhet . Det är en komplementär teknik till system som upptäcker säkerhetshot baserat på paketsignaturer .
NBAD är den kontinuerliga övervakningen av ett nätverk för ovanliga händelser eller trender. NBAD är en integrerad del av nätverksbeteendeanalys (NBA), som erbjuder säkerhet utöver den som tillhandahålls av traditionella anti-hotapplikationer som brandväggar, intrångsdetekteringssystem, antivirusprogram och spionprogram .
Beskrivning
De flesta säkerhetsövervakningssystem använder en signaturbaserad metod för att upptäcka hot. De övervakar vanligtvis paket på nätverket och letar efter mönster i paketen som matchar deras databas med signaturer som representerar föridentifierade kända säkerhetshot. NBAD-baserade system är särskilt användbara för att upptäcka säkerhetshotsvektorer i två fall där signaturbaserade system inte kan: (i) nya nolldagsattacker och (ii) när hottrafiken är krypterad såsom kommando- och kontrollkanalen för vissa Botnät.
Ett NBAD-program spårar kritiska nätverksegenskaper i realtid och genererar ett larm om en konstig händelse eller trend upptäcks som kan indikera närvaron av ett hot. Storskaliga exempel på sådana egenskaper inkluderar trafikvolym, bandbreddsanvändning och protokollanvändning.
NBAD-lösningar kan också övervaka beteendet hos enskilda nätabonnenter. För att NBAD ska vara optimalt effektivt måste en baslinje för normalt nätverks- eller användarbeteende fastställas över en tidsperiod. När vissa parametrar har definierats som normala, flaggas varje avvikelse från en eller flera av dem som avvikande.
NBAD-teknik/-tekniker tillämpas i ett antal nätverks- och säkerhetsövervakningsdomäner inklusive: (i) Logganalys (ii) Paketinspektionssystem (iii) Flödesövervakningssystem och (iv) ruttanalys .
NBAD har också beskrivits som outlier-detektering, nyhetsdetektion, avvikelsedetektering och undantagsbrytning.
Populära hotdetektioner inom NBAD
- Detektering av nyttolastavvikelse
- Protokollavvikelse: MAC- spoofing
- Protokollavvikelse: IP-spoofing
- Protokollavvikelse: TCP / UDP Fanout
- Protokollavvikelse: IP Fanout
- Protokollavvikelse: Duplicerad IP
- Protokollavvikelse: Duplicera MAC
- Virusdetektion _
- Detektering av bandbreddsavvikelse
- Detektering av anslutningshastighet
Kommersiella produkter
- Palo Alto Networks – Cortex XDR
- Darktrace - AI Enterprise Immunsystem | Antigena autonoma respons
- Allot Communications – Allot Communications DDoS-skydd
- Arbor Networks NSI – Arbor Network Security Intelligence
- Cisco – Stealthwatch (tidigare Lancope StealthWatch)
- IBM – QRadar (sedan 2003)
- Enterasys Networks – Enterasys Dragon
- Exinda – Inbyggd (Application Performance Score (APS), Application Performance Metric (APM), SLA och Adaptive Response)
- ExtraHop Networks - Reveal(x)
- Flowmon Networks – Flowmon ADS
- FlowNBA – NetFlow
- Juniper Networks – STRM
- Fidelis Cybersecurity – Nätverkssäkerhet
- Sista raden
- McAfee – McAfee Network Threat Behavior Analysis
- HP ProCurve – Network Immunity Manager
- Riverbed Technology – Riverbed Cascade
- Sourcefire – Sourcefire 3D
- Symantec – Symantec Advanced Threat Protection
- GREYCORTEX – Mendel (tidigare TrustPort Threat Intelligence)
- Vectra AI
- ZOHO Corporation – ManageEngine NetFlow Analyzers avancerade säkerhetsanalysmodul
- Microsoft Corp – Windows Defender ATP och Advanced Threat Analytics
- Vehere - PacketWorker Network Detection and Response