La detección de anomalías en el comportamiento de la red ( NBAD ) proporciona un enfoque para la detección de amenazas a la seguridad de la red . Es una tecnología complementaria a los sistemas que detectan amenazas a la seguridad basadas en firmas de paquetes .
NBAD es el monitoreo continuo de una red en busca de eventos o tendencias inusuales. NBAD es una parte integral del análisis del comportamiento de la red (NBA), que ofrece seguridad además de la proporcionada por las aplicaciones anti-amenazas tradicionales como firewalls, sistemas de detección de intrusos, software antivirus y software de detección de spyware .
Descripción
La mayoría de los sistemas de monitoreo de seguridad utilizan un enfoque basado en firmas para detectar amenazas. Por lo general, monitorean los paquetes en la red y buscan patrones en los paquetes que coincidan con su base de datos de firmas que representan amenazas de seguridad conocidas previamente identificadas. Los sistemas basados en NBAD son particularmente útiles para detectar vectores de amenazas a la seguridad en 2 casos en los que los sistemas basados en firmas no pueden: (i) nuevos ataques de día cero y (ii) cuando el tráfico de amenazas está encriptado, como el canal de comando y control para ciertos Botnets.
Un programa NBAD rastrea las características críticas de la red en tiempo real y genera una alarma si se detecta un evento o tendencia extraña que podría indicar la presencia de una amenaza. Los ejemplos a gran escala de tales características incluyen el volumen de tráfico, el uso del ancho de banda y el uso del protocolo. [1]
Las soluciones NBAD también pueden monitorear el comportamiento de suscriptores de red individuales. Para que NBAD sea óptimamente efectivo, se debe establecer una línea de base del comportamiento normal de la red o del usuario durante un período de tiempo. Una vez que ciertos parámetros se han definido como normales, cualquier desviación de uno o más de ellos se marca como anómala.
NBAD debe utilizarse además de los firewalls y aplicaciones convencionales para la detección de malware . Algunos proveedores han comenzado a reconocer este hecho al incluir programas NBA / NBAD como partes integrales de sus paquetes de seguridad de red.
La tecnología / técnicas NBAD se aplican en varios dominios de monitoreo de red y seguridad, que incluyen: (i) Análisis de registros (ii) Sistemas de inspección de paquetes (iii) Sistemas de monitoreo de flujo y (iv) Análisis de rutas .
Detecciones de amenazas populares dentro de NBAD
- Detección de anomalías de carga útil
- Anomalía de protocolo: suplantación de MAC
- Anomalía de protocolo: falsificación de IP
- Anomalía de protocolo: TCP / UDP Fanout
- Anomalía de protocolo: IP Fanout
- Anomalía de protocolo: IP duplicada
- Anomalía de protocolo: MAC duplicada
- Detección de virus
- Detección de anomalías de ancho de banda
- Detección de velocidad de conexión
Productos comerciales
- Darktrace - Sistema inmunológico empresarial de IA | Respuesta autónoma de antígenos
- Allot Communications [2] - Protección DDoS de Allot Communications
- Arbor Networks NSI [3] : inteligencia de seguridad de red de Arbor
- Cisco - Stealthwatch (anteriormente Lancope StealthWatch)
- IBM - QRadar (desde 2003)
- Enterasys Networks - Enterasys Dragon
- Exinda : incorporada (puntuación de rendimiento de la aplicación (APS), métrica de rendimiento de la aplicación (APM), SLA y respuesta adaptable)
- Redes ExtraHop - RevealX
- Flowmon Networks [4] - Flowmon ADS
- FlowNBA - NetFlow
- Juniper Networks - STRM
- Fidelis Cybersecurity - Seguridad de red
- Última línea
- McAfee : análisis de comportamiento de amenazas de red de McAfee
- HP ProCurve - Administrador de inmunidad de red
- Tecnología Riverbed - Riverbed Cascade
- Sourcefire - Sourcefire 3D
- Symantec : protección avanzada contra amenazas de Symantec
- GREYCORTEX - Mendel [5] (anteriormente TrustPort Threat Intelligence)
- Vectra
- ZOHO Corporation - Módulo de análisis de seguridad avanzado de ManageEngine NetFlow Analyzer
- Microsoft Corp - ATP de Windows Defender y análisis de amenazas avanzado
- Vehere - Detección y respuesta de redes PacketWorker [6]
Ver también
Referencias
- ^ "Kickoff de Rolling Review: sistemas de análisis de comportamiento de red" . 5 de abril de 2008.
- ^ "Software de protección y seguridad DDoS: proteja su red" .
- ^ "Soluciones Arbor DDoS - NETSCOUT" . NETSCOUT .
- ^ https://www.flowmon.com/en/products/flowmon/anomaly-detection-system
- ^ "GreyCortex | Análisis de tráfico de red avanzado" . www.greycortex.com . Consultado el 29 de junio de 2016 .
- ^ Goled, Shraddha (3 de abril de 2021). "Los piratas informáticos están teniendo un día de campo después de la pandemia: Praveen Jaiswal, Vehere" . Revista Analytics India . Consultado el 17 de mayo de 2021 .
enlaces externos
- Detección de eventos de red con medidas de entropía , Dr. Raimund Eimann, Universidad de Auckland, PDF; 5993 kB
- Flowmon Networks: análisis del comportamiento de la red y detección de anomalías
- Documento técnico: Cómo el análisis de tráfico de red identifica actividades sospechosas o riesgosas