Ssylka

Расширенный анализ Netflow: выявление приложений и аномалий

Традиционный Netflow не всегда эффективен для выявления специфических приложений или вредоносной активности из-за ограниченного набора полей. Автор разработал расширенную версию, "extended netflow", которая включает в себя гораздо больше параметров, таких как длина пакета, энтропия нагрузки, межпакетные интервалы и флаги TCP. Для каждого параметра вычисляются различные статистические характеристики, как минимум, максимальное и минимальное значение, разброс, среднее арифметическое, дисперсию и стандартное отклонение. Полученные таким образом данные могут быть использованы для обнаружения работы приложений, вредоносного ПО и инструментов redteam, а также могут быть преобразованы в звук для визуализации через спектрограммы.
Расширенный анализ Netflow: выявление приложений и аномалий
Изображение носит иллюстративный характер

Для идентификации трафика, относящегося к конкретному приложению, был использован простой, но эффективный метод: сопоставление DNS-запросов с активностью приложений в определенный период времени. Полученные данные использовались для обучения моделей машинного обучения, в частности, random forest. Этот метод продемонстрировал высокую точность обнаружения различных приложений и вредоносного ПО, включая Cobaltstrike, а также такие приложения, как Сбербанк, Wildberries и Альфабанк. Тестирование показало, что модели способны обнаруживать трафик даже тех приложений и вредоносного ПО, которые не использовались в процессе обучения, и определять активность отдельных функций этих приложений.

Extended netflow может быть применен для анализа влияния канала связи на трафик приложения, обнаружения сетевой активности, исследования сетевой составляющей приложений и создания сетевых профилей устройств или пользователей. Эта информация может использоваться как дополнительный источник для SIEM-систем, XDR и других средств защиты, а также для исследования телеметрии устройств. В будущем автор планирует использовать сверточные нейросети для анализа состояний потока и их изменений, что должно повысить точность определения конкретных функций приложений и API, а также оптимизировать приложение с помощью DPDK и CUDA.

Однако, как показали комментарии к статье, этот метод не является абсолютно надежным и зависит от конкретных особенностей сетевой инфраструктуры. VPN трафик эффективно прячется от обнаружения моделями, а результаты обучения могут варьироваться в зависимости от провайдера, точки сбора трафика и сетевых интерфейсов. Несмотря на это, автор предполагает, что, контролируя размеры пакетов и межпакетные интервалы, можно усложнить обнаружение активности. Кроме того, на основе результатов статьи и комментариев к ней можно обучать модели машинного обучения для обнаружения аномального или подозрительного трафика.


Новое на сайте

13509Что скрывает загадочный клад Мелсонби? 13508Может ли новый резервуар предотвратить наводнения? 13507Венеция: чудо из дерева, грязи и воды 13506Может ли купание под звёздами преобразить ваше восприятие мира? 13505Как распространение спортивной ходьбы трансформировало спортивную сферу в XIX столетии? 13504Защита критических данных с помощью PAM 13503Перестановка в «Малкольме»: новый Дьюи возрождает культовый сериал 13502Ошибочная декофеинизация: отзыв кофейного продукта в США 13501Как уличная фотография меняет модный мир? 13500Лучшее снаряжение для солнечного затмения 2025 13499Отмена тура FKA Twigs из-за визовых проблем 13498Как выбрать надежный трехрядный SUV за менее чем 30 000 долларов? 13497Как миф о превосходстве моногамии разрушается научными данными? 13496Любовный треугольник на южном побережье: как пара скопа справится с конкуренцией? 13495Революционное открытие: прото­планетные диски оказались значительно меньше, чем считалось...