来自 安全 2021-10-14 11:10 的文章

高防御cdn_防御ddos云_怎么防

高防御cdn_防御ddos云_怎么防

这个博客描述了一个触发的基本蠕虫检测多种类型的关联规则。所有的检测都完成了被动使用被动语态漏洞扫描器(PVS)和通过观察网络会话流量使用日志相关引擎(LCE)。本博客中的负责人和我们'事件分析培训的博客系列可以与各种NBAD、IDS和SIM解决方案。在回顾过去一周的一组相关事件时进行初步检测在一所大型大学里,我注意到有一个"潜在蠕虫爆发"事件。生成此事件的关联规则从防火墙、nid和PVS收集端口扫描数据。在这个港口扫描数据,ddos云服务防御,LCE只需查找最近扫描过的主机在成为新的出站扫描源之前。这背后的原则是确定主机是否已被感染或受到危害,并且正在被用于启动新扫描。虽然这个规则背后的算法很简单,但我不这么认为由于端口扫描反射,依赖它或将其作为主要的关联规则。作为SIM卡供应商,我们可以看到各种产品的日志通常会得到防火墙、IDS或"每秒事件"ID的攻击日志报告同一端口扫描,但报告方向不同。不去全面讨论端口扫描检测算法,取决于对NIDS进行了优化,如何配置网络,以及什么样的端口扫描(例如,网站被cc如何防御,完全扫描连接、ACK扫描、SYN扫描、伪造源地址等)响应从正在被扫描的主机进行的端口扫描可能被视为实际的端口扫描本身。正在调查的源IP地址10.30.39.154此外,还发现有许多其他相关事件IP地址如下所示:单击以获取更大的图像已由日志相关引擎规范化的日志非常有趣的复习。以下是这些事件的简短列表卑鄙。·        域名服务器黑名单域-主机已执行DNS查找的域名已经被列入黑名单。在这种情况下,DNS查找由私人侦探。·        长期网络扫描–有问题的IP地址正在执行端口扫描持续至少一小时。·        新建DNS查询–处理DNS查询时,日志相关引擎将保留主机第一次解析给定目标的跟踪。·        潜力蠕虫爆发–此关联事件表示主机已被端口已扫描,现在正在执行出站扫描。·        PVS公司漏洞–当PVS确定特定主机,可以实时登录。当一个主机浏览互联网时向pv暴露更多的客户端信息,新的漏洞可能记录在案。·        PVS公司网络信息–类似于当PVS发现漏洞时发现漏洞关于新主机、新开放端口、浏览端口、信任关系等,这些都是实时记录的。例如来自PVS的事件是"PVS New Host Alert"事件。·        PVS扫描检测–PVS还可以识别单主机端口扫描以及大中型网络扫描多个主机。·        PVS公司取证日志记录–PVS还可以记录各种各样的网络活动送到LCE。在本例中,PVS记录了两种感兴趣的事件类型。这个首先是"PVS Web GET Request"事件。此事件发生在端口80和PVS上提取用于日志记录的web浏览事件的目标URI。第二次事件是"内部加密会话"。这表示主机生成了与内部网络上另一台主机的网络连接足够随机以至于可能被加密。·        统计学异常-LCE记录了6个异常。这些是基于来自PVS的日志、相关事件和Tenable Network Monitor下面介绍。LCE的统计引擎维护一个模型以及事件率。在这种情况下,前几个"统计"连接大异常"和"统计连接中异常"条目意味着所讨论的主机与网络连接速率有关在正常行为之外。最后几个统计的"网络"事件表明上一个LCE的"网络"事件类型计数正常统计平均值。·        统计学长期虐待-此事件表明统计事件超过3小时。在有许多异常的网络中关联规则有助于识别比正常情况下更难驱动的主机一段较长的时间。·        TNM公司活动–Tenable Network Monitor是用于记录网络的嗅探器直接到LCE的会话(非常类似于netflow日志)。LCE正常化按协议、会话长度和带宽量划分的网络会话。为例如,一个持续30分钟并传输100 MB数据的会话记录了两次。大多数网络会话都很短,不包含太多数据只记录一次。对于来自相关主机的事件,有ICMP事件,免费防御cc平台,2542个疗程持续不到5分钟,少数疗程持续5分钟分钟或更长时间以及10个会话,这些会话在1 MB到10 MB之间传输交通。那么这一切是怎么回事卑鄙?事件图表示从旧的开始的线性时间进程从左边的事件到右边的新事件。这里面有很多东西图表告诉我们不在事件中:·        此主机之前没有事件。我们有PVS"New Host Alert"事件,这意味着它看到了第一次。我们也没有来自Tenable Network Monitor的任何流。·        灰色区域是早上6点到下午6点,红线是午夜。午夜过后,ddos防御设备部署,IP地址的所有活动都消失了。也许是一个学生关掉了她的笔记本电脑,病毒关闭了计算机,计算机重新启动或DHCP地址已重新发布。因为我们没有来自DHCP服务器的日志如果不进行主动扫描,我们必须做些调查才能找到这个主机在一个新的IP地址,如果这对我们很重要。·        我们看不到任何大带宽的流量在网络上。两千个网络会话和几MB的网络流量不是一个值得注意的事件。基于所有这些,我认为这是某种感染,但不是高度攻击性的,或者至少不是在被记录下来的时候表现出攻击性。当然,它应该被修复,但是如果你在一个大学的环境里,要面对成百上千的在日常生活中,这可能不是你的首要任务。如果我在公司的笔记本电脑上看到同样的流量,我会把它拉出来表演的病毒扫描或找出病毒扫描不能阻止病毒感染的原因从开始。了解更多信息Tenable博客提供了一系列几十篇文章在"事件"中分析培训部分。所涉及的主题包括列入黑名单的IP地址分析,人群激增,检测异常等等。

,ddos防御100g多少钱