Bro Open-source, Unix-gebaseerde NID's die het netwerkverkeer passief bewaken en zoekt naar verdachte activiteiten
Download nu

Bro Rangschikking & Samenvatting

Bro Tags

toezicht houden op Netwerkmonitor detecteren detecteren indringing aanvalsdetector

Bro Beschrijving

Open-source, Unix-gebaseerde NID's die het netwerkverkeer passief bewaken en zoekt naar verdachte activiteiten Het indringerdetectiesysteem van het BRO-netwerk detecteert indringers door het eerste het parseren van netwerkverkeer naar extract is toepassingsniveau-semantiek en het uitvoeren van gebeurtenis-georiënteerde analysers die de activiteit vergelijken met patronen die preuts worden beschouwd. De analyse omvat detectie van specifieke aanvallen (inclusief die gedefinieerd door handtekeningen, maar ook die welke zijn gedefinieerd in termen van gebeurtenissen) en ongebruikelijke activiteiten (bijvoorbeeld bepaalde hosts die verbinding maken met bepaalde diensten of patronen van mislukte verbindingspogingen) .BRO gebruikt een gespecialiseerde beleidstaal Dat kan een site toestaan om de werking van Bro af te stemmen, zowel als nieuwe aanvallen worden ontdekt en als sitebeleid evolueert. Als Bro iets van belang detecteert, kan het worden geïnstrueerd om een logboekinvoer te genereren, de exploitant in realtime te waarschuwen Besturingssysteemopdracht (bijvoorbeeld om een verbinding te beëindigen of een kwaadwillende gastheer te blokkeren op de vlieg). Bovendien kunnen de gedetailleerde logbestanden van BRO bijzonder nuttig zijn voor Forensics.BRO richt zich op hogesnelheid (Gbps), indringerige indringerdetectie. Door rechtvaardigen bij het gebruik van pakketfiltertechnieken, kan Bro de nodige prestaties bereiken tijdens het uitvoeren van de in de handel verkrijgbare pc-hardware, en kan dus dienen als een kosteneffectief middel om de internetverbinding van een site te volgen. Hier zijn enkele belangrijke functies van "BRO": Netwerk gebaseerd: · Bro is een op netwerk gebaseerde ID's. Het verzamelt, filters en analyseert het verkeer dat door een specifieke netwerklocatie passeert. Een enkele BRO-monitor, strategisch geplaatst op een sleutelnetwerkverbinding, kan worden gebruikt om alle inkomende en uitgaande verkeer voor de hele site te controleren. BRO gebruikt of vereist geen installatie van clientsoftware op elke individuele, networked computer. Custom Scripting Language: · Bro-beleidscripts zijn programma's die in de BRO-taal zijn geschreven. Ze bevatten de "regels" die beschrijven wat soorten activiteiten worden beschouwd als lastige. Ze analyseren de netwerkactiviteit en initiëren acties op basis van de analyse. Hoewel de BRO-taal enige tijd en moeite kost om te leren, kan de BRO-gebruiker eenmaal beheerst, het BRO-beleid schrijven of wijzigen om op vrijwel elk type netwerkactiviteit te detecteren en te alert. Pre-schriftelijke beleidscripts: · Bro wordt geleverd met een rijke set beleidscripts die zijn ontworpen om de meest voorkomende internetaanvallen te detecteren terwijl het aantal valse positieven beperkt, d.w.z. waarschuwingen die oninteressante activiteit verwarren met de belangrijke aanvalsactiviteit. Deze geleverde beleidscripts zullen "out of the box" uitvoeren en hebben geen kennis van de BRO-taal- of beleidscriptmechanica nodig. Krachtige handtekening matching faciliteit: · Het BRO-beleid neemt een kenmerkende matching-faciliteit op die zoekt naar specifiek verkeersgehalte. Voor BRO worden deze handtekeningen uitgedrukt als reguliere uitdrukkingen, in plaats van vaste snaren. Bro voegt veel vermogen toe aan zijn signature-matching-capaciteit vanwege de rijke taal. Hierdoor kunnen Bro niet alleen het netwerkinhoud onderzoeken, maar om de context van de handtekening te begrijpen, waardoor het aantal valse positieven aanzienlijk wordt verminderd. Bro wordt geleverd met een reeks beleid voor hoogwaardige handtekeningen, geselecteerd voor hun hoge detectie en lage valse positieve kenmerken. Netwerkverkeersanalyse: · Bro zoekt niet alleen naar handtekeningen, maar kan ook netwerkprotocollen, verbindingen, transacties, gegevensbedragen en vele andere netwerkkarakteristieken analyseren. Het heeft krachtige faciliteiten voor het opslaan van informatie over de activiteiten in het verleden en het opnemen van deze in analyses van nieuwe activiteit. Detectie gevolgd door actie: · Bro-beleidscripts kunnen uitvoerbestanden genereren die de activiteit op het netwerk worden opgenomen (inclusief normale, non-aanval-activiteit). Ze kunnen ook probleemwaarschuwingen genereren aan evenementenlogboeken, inclusief de Syslog-faciliteit van het besturingssysteem. Bovendien kunnen scripts programma's uitvoeren, die op hun beurt e-mailberichten kunnen verzenden, pagina het personeel van de oproep, automatisch de bestaande verbindingen beëindigen, of, met de juiste extra software, toegangscontroleblokken in te voegen in de toegangscontrolelijst van een router. Met het vermogen van Bro om programma's uit te voeren op het niveau van het besturingssysteem, worden de acties die Bro initiëren slechts beperkt worden door de computer- en netwerkmogelijkheden die Bro ondersteunen. Snort Compatibiliteitsondersteuning: · De BRO-distributie bevat een tool, Snort2BRO, die snuifhandtekeningen omzet in BRO-handtekeningen. Samen met het vertalen van het formaat van de handtekeningen, neemt Snort2BRO ook een groot aantal verbeteringen op aan de standaard set snokhandtekeningen om te profiteren van de extra contextuele kracht van BRO en valse positieven te verminderen.

Bro Gerelateerde software