OSSIM让网络攻击无所遁形

北城余情 提交于 2019-11-26 21:05:30

OSSIM让网络攻击无所遁形

 

如今网络安全事件的复杂程度不断攀升,从传统的病毒到蠕虫、木马的过程,这是一种网络威胁进化的过程,你再用传统的监控工具就OUT了。要想对抗攻击,首先需要发现攻击,通过抓包的常规做法比较滞后,而且也只能发现局部问题,已不满足我们对可视化网络安全运维的需要,你选择的多数软件都无法满足对网络攻击可视化的需求。若想更佳方便的发现网络异常,这里我们还是使用OSSIM平台,下面看几个网络常见的攻击类型和OSSIM对策:

 wKioL1Zb1kPyOgzYAAQwKvkSER0479.jpg

 

1. ICMP攻击
主要包括利用大量ICMP Redirect包修改系统路由表的攻击和使用ICMP协议实施的拒绝服务攻击.

wKioL1ZdXO3RPosmAAGJnZ2gC5M046.jpg

 

2.扫描攻击nmap扫描

 

wKioL1ZgHoaRqHeFAAMFt9tKk0Y407.jpg

wKioL1ZgHoix4v8MAAHKwazKQxA045.jpg

聚合后的事件

wKioL1ZdXe3Dzij2AAPnj8RAnXM486.jpg

wKioL1Zdp-qQ_GYjAANLy8nEtKU617.jpg

 

3.特洛伊木马攻击

最早的Zeusbot通过直接与它的C&C服务器进行通信来下载配置数据和上传窃取的信息。

wKioL1Zb1CWTgjXVAAM_eG-c-HA667.jpg

 wKiom1ZeriPTHmfyAATawseKc5w312.jpg

 

4.蠕虫攻击,例如Win32.Koobface.AC

Win32.Koobface.AC是一种通过Facebook社交网站进行传播的蠕虫.它通过发送信息到被感染用户社交网站上的联系列表进行传播。如您看不懂这些也可先查询恶意代码知识百科

wKiom1Zb0_-gkEIDAAJph-OQPWM850.jpg

 

5. 检查出感染恶意软件

wKiom1ZdpSHA2V_jAAQQG88CRcI072.jpg

 

6.发现挂马攻击 EK是ExploitKit的缩写,表示Angler钓鱼工具套件或工具包

wKiom1ZdpnCDh60OAAUaWlhjhcg784.jpg

 

7.发现用指令控制服务器C&C(控制僵尸网络)

wKiom1ZdrWrBZSM_AAMlDMAUiNE937.jpg

 

8.发觉疑似MySQL攻击

wKioL1ZdX67zGPM1AAOO7S2va0U937.jpg

 


9. 实现手法


    这种识别技术源于旁路监听,即采用将网卡设置为混杂模式接入Switch镜像口的方式实现网络设局的实时旁路捕获,并对所获得的网络数据进行检测,它的基础就在于NIDS基本体制。在NIDS中采用了基于精细的协议解析分流网络数据,通过一些小特征库进行并行匹配,由于在Snort时代是单线程处理,所以系统的效率瓶颈问题一直是匹配速度问题,目前升级到Suricata后情况有所缓解。NIDS检测的速度和检测颗粒度就跟协议解析深度、特征匹配的速度以及特征库的质量息息相关。从某种角度上看OSSIM是一个网络病毒传播的监控系统,核心功能之一是在OSSIM中用到了关联分析引擎搭配中间件和缓存系统辅助,要了解详情请参考《开源安全运维平台-OSSIM最佳实践》一书。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!