 | irmãoOpen-Source, NIDs baseados em UNIX que monitora passivamente o tráfego de rede e procura uma atividade suspeita |
| Baixe Agora | |
irmão Classificação e resumo
Propaganda
- Licença:
- Freeware
- Preço:
- FREE
- Nome do editor:
- Lawrence Berkeley National Laboratory
- Site do editor:
- http://lbl.gov/
- Sistemas operacionais:
- Mac OS X
- Tamanho do arquivo:
- 4 MB
irmão Tag
irmão Descrição
NIDs baseados em código aberto, baseado em UNIX que monitora passivamente o tráfego de rede e procura uma atividade suspeita O sistema de detecção de intrusões de intrusão da BRO detecta intrusões pelo tráfego de rede de análise pela primeira vez para extrair é a semântica de nível de aplicativo e, em seguida, executando analisadores orientados para eventos que comparam a atividade com padrões considerados problemáticos. Sua análise inclui detecção de ataques específicos (incluindo aqueles definidos por assinaturas, mas também aqueles definidos em termos de eventos) e atividades incomuns (por exemplo, determinados hosts conectando a determinados serviços, ou padrões de tentativas de conexão com falha) .bro usa uma linguagem política especializada Isso permitirá que um site adapte a operação do Bro, tanto quanto novos ataques são descobertos e como políticas do site evoluem. Se o mano detectar algo de interesse, ele pode ser instruído a gerar uma entrada de log, alertar o operador em tempo real, execute um Comando do sistema operacional (por exemplo, para encerrar uma conexão ou bloquear um host mal-intencionado on-the-fly). Além disso, os arquivos de log detalhados do Bro podem ser particularmente úteis para os alvos forensics.bro de alta velocidade (Gbps), detecção de intrusão de alto volume. Ao alavancar judiciosamente as técnicas de filtragem de pacotes, a Bro é capaz de atingir o desempenho necessário durante a execução do hardware do PC disponível comercialmente e, portanto, pode servir como meio econômico de monitorar a conexão de Internet de um site. Aqui estão algumas características principais de "mano": Baseada pela Rede: · Bro é um IDs baseado em rede. Coleciona, filtros e analisa o tráfego que passa por um local de rede específico. Um único monitor BRO, estrategicamente colocado em uma junção de rede chave, pode ser usado para monitorar todo o tráfego de entrada e saída para todo o site. Bro não usa ou exige instalação de software cliente em cada computador individual, em rede. Língua de script personalizada: · Scripts de política do BRO são programas escritos na língua do irmão. Eles contêm as "regras" que descrevem quais tipos de atividades são consideradas problemáticas. Eles analisam a atividade de rede e iniciam ações com base na análise. Embora a linguagem Bro tome algum tempo e esforço para aprender, uma vez dominado, o usuário do BRO pode escrever ou modificar as políticas do BRO para detectar e alertar em praticamente qualquer tipo de atividade de rede. Scripts de política pré-escrita: · Bro vem com um rico conjunto de scripts de políticas projetados para detectar os ataques de internet mais comuns, limitando o número de falsos positivos, isto é, alertas que confundem atividade desinteressante com a importante atividade de ataque. Esses scripts de políticas fornecidos serão executados "fora da caixa" e não exigirão conhecimento da linguagem BRO ou mecânica de script de políticas. Facilidade de correspondência de assinatura poderosa: · As políticas do BRO incorporam uma assinatura correspondente que procura conteúdo de tráfego específico. Para mano, essas assinaturas são expressas como expressões regulares, em vez de seqüências fixas. O mano adiciona uma grande quantidade de energia à sua capacidade de correspondência de assinatura por causa de sua rica linguagem. Isso permite que a Bro não apenas examine o conteúdo da rede, mas para entender o contexto da assinatura, reduzindo grandemente o número de falsos positivos. O Bro vem com um conjunto de políticas de assinaturas de alto valor, selecionadas para sua alta detecção e baixas características positivas falsas. Análise de tráfego de rede: · Bro não só procura assinaturas, mas também pode analisar protocolos de rede, conexões, transações, valores de dados e muitas outras características da rede. Tem instalações poderosas para armazenar informações sobre atividades passadas e incorporá-lo em análises de novas atividades. Detecção seguida de ação: · Os scripts de política do BRO podem gerar arquivos de saída registrando a atividade vista na rede (incluindo atividade normal, sem ataque). Eles também podem gerar alertas de problemas para logs de eventos, incluindo a instalação do syslog do sistema operacional. Além disso, os scripts podem executar programas, que podem, por sua vez, enviar mensagens de e-mail, página do funcionário da chamada, encerrar automaticamente as conexões existentes ou, com software adicional apropriado, inserir blocos de controle de acesso em uma lista de controle de acesso de um roteador. Com a capacidade da Bro de executar programas no nível do sistema operacional, as ações que Bro podem iniciar são limitadas apenas pelos recursos do computador e da rede que suportam mano. Suporte de compatibilidade de snort: · A distribuição BRO inclui uma ferramenta, o Snort2bro, que converte assinaturas de Snort em assinaturas de bro. Juntamente com a tradução do formato das assinaturas, o Snort2bro também incorpora um grande número de aprimoramentos para o conjunto padrão de assinaturas de snort para aproveitar o poder contextual adicional da BRO e reduzir os falsos positivos.
irmão Software Relacionado
