Традиционный Netflow не всегда эффективен для выявления специфических приложений или вредоносной активности из-за ограниченного набора полей. Автор разработал расширенную версию, "extended netflow", которая включает в себя гораздо больше параметров, таких как длина пакета, энтропия нагрузки, межпакетные интервалы и флаги TCP. Для каждого параметра вычисляются различные статистические характеристики, как минимум, максимальное и минимальное значение, разброс, среднее арифметическое, дисперсию и стандартное отклонение. Полученные таким образом данные могут быть использованы для обнаружения работы приложений, вредоносного ПО и инструментов redteam, а также могут быть преобразованы в звук для визуализации через спектрограммы.
Для идентификации трафика, относящегося к конкретному приложению, был использован простой, но эффективный метод: сопоставление DNS-запросов с активностью приложений в определенный период времени. Полученные данные использовались для обучения моделей машинного обучения, в частности, random forest. Этот метод продемонстрировал высокую точность обнаружения различных приложений и вредоносного ПО, включая Cobaltstrike, а также такие приложения, как Сбербанк, Wildberries и Альфабанк. Тестирование показало, что модели способны обнаруживать трафик даже тех приложений и вредоносного ПО, которые не использовались в процессе обучения, и определять активность отдельных функций этих приложений.
Extended netflow может быть применен для анализа влияния канала связи на трафик приложения, обнаружения сетевой активности, исследования сетевой составляющей приложений и создания сетевых профилей устройств или пользователей. Эта информация может использоваться как дополнительный источник для SIEM-систем, XDR и других средств защиты, а также для исследования телеметрии устройств. В будущем автор планирует использовать сверточные нейросети для анализа состояний потока и их изменений, что должно повысить точность определения конкретных функций приложений и API, а также оптимизировать приложение с помощью DPDK и CUDA.
Однако, как показали комментарии к статье, этот метод не является абсолютно надежным и зависит от конкретных особенностей сетевой инфраструктуры. VPN трафик эффективно прячется от обнаружения моделями, а результаты обучения могут варьироваться в зависимости от провайдера, точки сбора трафика и сетевых интерфейсов. Несмотря на это, автор предполагает, что, контролируя размеры пакетов и межпакетные интервалы, можно усложнить обнаружение активности. Кроме того, на основе результатов статьи и комментариев к ней можно обучать модели машинного обучения для обнаружения аномального или подозрительного трафика.
Изображение носит иллюстративный характер
Для идентификации трафика, относящегося к конкретному приложению, был использован простой, но эффективный метод: сопоставление DNS-запросов с активностью приложений в определенный период времени. Полученные данные использовались для обучения моделей машинного обучения, в частности, random forest. Этот метод продемонстрировал высокую точность обнаружения различных приложений и вредоносного ПО, включая Cobaltstrike, а также такие приложения, как Сбербанк, Wildberries и Альфабанк. Тестирование показало, что модели способны обнаруживать трафик даже тех приложений и вредоносного ПО, которые не использовались в процессе обучения, и определять активность отдельных функций этих приложений.
Extended netflow может быть применен для анализа влияния канала связи на трафик приложения, обнаружения сетевой активности, исследования сетевой составляющей приложений и создания сетевых профилей устройств или пользователей. Эта информация может использоваться как дополнительный источник для SIEM-систем, XDR и других средств защиты, а также для исследования телеметрии устройств. В будущем автор планирует использовать сверточные нейросети для анализа состояний потока и их изменений, что должно повысить точность определения конкретных функций приложений и API, а также оптимизировать приложение с помощью DPDK и CUDA.
Однако, как показали комментарии к статье, этот метод не является абсолютно надежным и зависит от конкретных особенностей сетевой инфраструктуры. VPN трафик эффективно прячется от обнаружения моделями, а результаты обучения могут варьироваться в зависимости от провайдера, точки сбора трафика и сетевых интерфейсов. Несмотря на это, автор предполагает, что, контролируя размеры пакетов и межпакетные интервалы, можно усложнить обнаружение активности. Кроме того, на основе результатов статьи и комментариев к ней можно обучать модели машинного обучения для обнаружения аномального или подозрительного трафика.
