Что такое несигнатурный антивирус

Обновлено: 04.07.2024

киберфорт

Уровень 2

Пожалуйста, предложите какой-нибудь антивирус без подписи, такой как Dr.Web Katana (на основе поведения), как платный, так и бесплатный

Prorootect

Уровень 69

Браузер JSGuard (на основе эвристики)

Используйте также надстройку «Контроль перенаправления» и расширение «Белый список доменов» (от Peta Sittek): «Белый список доменов»
— если хотите.

Удален участник 178

Нет такой вещи, как неподписанный AV; Антивирусы в принципе основаны на сигнатурах.

Katana больше похожа на поведенческий блокировщик, который специалисты по маркетингу помечают как "антивирус", чтобы обычный человек мог определить, что это за программное обеспечение.

АланОсташевски

Уровень 16

Большинство брандмауэров не имеют сигнатур, по крайней мере брандмауэр Windows. Там вы можете выбрать, что вы хотите разрешить только указанные вами порты. Это должно быть хорошей основой. Иначе я не знаю антивируса без сигнатур.

Удален участник 178

ХарборФронт

Уровень 60

Если вы говорите, что не нужно загружать подписи, вы можете рассмотреть Deep Armor, Cylance Protect, Immunet (бесплатно), Webroot SecureAnywhere и т. д. Первые 2 не требуют подписей, поскольку они основаны на искусственном интеллекте. Последние 2 хранят подписи в облаке

шму26

Уровень 85

Возможно, вам понадобится что-то вроде Comodo Firewall или VoodooShield.
Если у вас муковисцидоз, вы должны использовать знаменитую настройку @cruelsister. Вы не пожалеете.
Если VS, просто установите его с настройками по умолчанию, и он заработает как по волшебству.

Вот Экк

Уровень 14

17410742

Уровень 4

Похоже, вам понравится моя установка, так как я тоже предпочитаю не использовать традиционный антивирус в реальном времени.

Sandboxie + VoodooShield поможет вам.
или
Sandboxie + NVT Exe Radar Pro
или
Sandboxie+ NVT OsArmor (мне кажется, Sandboxie+Exe Radar Pro + OSArmor — это лично для меня слишком много, но вы тоже можете это сделать )
или
Sandboxie + SecureAPlus (использует облачные подписи от multi av, но по сути это анти-exe, такой как VoodooShield/Exe Radar pro)

Вы также можете добавить любое количество сканеров по запросу, таких как HitmanPro/Emsisoft Emergency Kit/Norton Power Eraser/MalwareBytes/Dr.Web Cure It и т. д.

В мире, где целевые атаки становятся все более распространенными, крайне важно понимать, что ваш персональный компьютер также может быть целью. Да, ваш ПК или Mac находится под постоянной угрозой, и важно понимать, что ваш домашний компьютер — это не остров. На него может воздействовать то же вредоносное ПО, что и на бизнес-компьютеры. Крайне важно, чтобы вы понимали, какие угрозы угрожают вашему компьютеру, и какие средства защиты помогают сдерживать эти угрозы.

Ваш компьютер в опасности

Первым шагом к более глубокому пониманию безопасности домашнего компьютера является то, что ваш компьютер находится под угрозой. Затем узнайте о различных функциях системы безопасности вашего домашнего компьютера для защиты от таких атак, как криптоджекинг, программы-вымогатели и другие.
Одной из таких функций является обнаружение на основе сигнатур.

Что такое подпись?

В терминологии компьютерной безопасности сигнатура — это типичный след или шаблон, связанный со злонамеренной атакой на компьютерную сеть или систему. Этот шаблон может быть серией байтов в файле (последовательность байтов) в сетевом трафике. Это также может принимать форму несанкционированного запуска программного обеспечения, несанкционированного доступа к сети, несанкционированного доступа к каталогам или аномалий в использовании сетевых привилегий.

Что такое обнаружение подписи?

Обнаружение на основе сигнатур — один из наиболее распространенных методов, используемых для устранения программных угроз, направленных на ваш компьютер. Эти угрозы включают вирусы, вредоносные программы, черви, трояны и многое другое. Ваш компьютер должен быть защищен от чрезвычайно большого количества опасностей. Достижение этой защиты в значительной степени зависит от хорошо продуманного, расширенного обнаружения на основе сигнатур, которое стоит у руля.

Этот тип обнаружения предполагает, что ваш антивирус имеет предопределенный репозиторий статических сигнатур (отпечатков пальцев), представляющих известные сетевые угрозы. Эти угрозы отличаются друг от друга своим уникальным кодом.

Когда антивирусный сканер начинает действовать, он начинает создавать соответствующие подписи для каждого файла и начинает сравнивать их с известными подписями в своем репозитории. Он продолжает отслеживать и искать в сетевом трафике совпадения сигнатур. Если совпадение найдено, этот файл классифицируется как «угроза», и любые дальнейшие действия с файлом блокируются.

Что делает обнаружение на основе сигнатур таким популярным?

Выявление вредоносных угроз и добавление их сигнатур в репозиторий — основной метод, используемый антивирусными продуктами. Обнаружение на основе сигнатур также является важнейшей опорой таких технологий безопасности, как антивирусы, IDS, IPS, брандмауэры и другие.

Его популярность подкрепляется его силой. Он используется очень давно, с тех пор, как на сцене появились первые антивирусные решения. Таким образом, существует определенная степень постоянства результатов и очевидный успех, связанный с этим. Подход не очень сложный, быстрый, простой в использовании и управлении. И более того, он записал на свой счет историю защиты компьютеров от довольно старых, но мощных угроз.

Неотъемлемый компонент многоуровневого подхода к безопасности

Нет абсолютно никаких сомнений в том, что обнаружение на основе сигнатур является критически важным компонентом арсенала безопасности вашего компьютера, но картина угроз, которую вы видите перед собой, не статична: она быстро развивается. Угрозы становятся все более изощренными, и каждый день в бой вступают все более скрытые методы атак.

Необходим более многоуровневый подход к безопасности, при котором IDS на основе сигнатур используется в сочетании с другими методами безопасности. К ним относятся обнаружение на основе поведения, обнаружение угроз с помощью ИИ, расширенное сканирование вредоносных программ и удаленное управление безопасностью.

Sophos Home обеспечивает безопасность корпоративного уровня нового поколения для ваших домашних ПК и компьютеров Mac. Sophos Home защищает от угроз всех видов, будь то сигнатурные, бессигнатурные или любые другие онлайн-угрозы. Загрузите его сегодня и убедитесь в этом сами.

Все традиционное антивирусное программное обеспечение использует сигнатуры для обнаружения известных вредоносных программ после того, как они были обнаружены разработчиками программного обеспечения и добавлены в определения. Эвристические определения позволяют обнаружить измененную часть вредоносного ПО, но, насколько я знаю, оно по-прежнему ограничено определенным типом программы, и это легко победить, лично переписав вредоносное ПО по-другому.

Я знаю, что в программном обеспечении форума vBulletin PHP есть средство проверки целостности. К сожалению, такая вредоносная программа часто добавляет себя в базу данных на форуме надстройки формы, поэтому она не сканируется средством проверки целостности. В Windows есть несколько сканеров руткитов, но я не могу вспомнить их названия и насколько они хороши.

«Это легко победить, лично переписав вредоносное ПО по-другому». Требуется цитирование. Насколько я знаю, проще запутать код с помощью автоматизированных инструментов, чем переписать.

@mootmoot Автоматические средства запутывания часто по-прежнему обнаруживаются антивирусным программным обеспечением. С другой стороны, переписывание вредоносного ПО по-другому, как правило, всегда работает против обнаружения на основе сигнатур.

@forest Как долго вредоносное ПО может оставаться незамеченным? Различные охранные компании устанавливают множество приманок для сбора новых вредоносных программ.

@mootmoot О, это зависит от десятков факторов. Это зависит от того, кому вы его распространяете, как он распространяется, какие методы он использует для скрытности, какие методы предотвращения отладки он использует, какова его цель.

1 Ответ 1

Хотя я отвечу на ваши вопросы в меру своих возможностей, имейте в виду, что любой из перечисленных здесь инструментов требует умеренной или сложной настройки и хорошего понимания системной безопасности. Не существует инструмента, который можно просто включить и забыть о нем, а наполнение системы инструментами, которые вы не полностью понимаете, не приведет ни к чему, кроме снижения производительности и увеличения площади поверхности атаки. На каждый из заданных вами вопросов может быть свой ответ с множеством страниц ресурсов, поэтому я стараюсь не усложнять. Пожалуйста, ознакомьтесь с этими инструментами перед их использованием!

Сканеры целостности файлов, которые используют базу данных известных исправных файлов или создают список всех когда-либо просмотренных файлов и предупреждают пользователя о ранее не виденном исполняемом файле. Возможно, у антивирусных компаний есть что-то подобное, но я сомневаюсь, что это общедоступно.

Существует множество доступных средств проверки целостности файлов, например AIDE. Эти средства проверки целостности создают защищенный список хэшей всех файлов в системе, поэтому изменения в любых файлах приведут к предупреждению. Обновление базы данных должно производиться сразу же после любого обновления программного обеспечения. Если вам нужна программа проверки целостности, которая работает только с исполняемыми файлами и активно предотвращает запуск измененных исполняемых файлов, вам следует рассмотреть IMA, архитектуру измерения целостности, для Linux. Это функция безопасности, встроенная в ядро, которая проверяет любой файл перед выполнением, чтобы убедиться, что хэш файла (хранящийся в расширенном атрибуте) действителен. Корень доверия спускается с помощью хеш-дерева к одному доверенному хэшу, обычно хранящемуся в безопасном оборудовании, таком как TPM. Однако обратите внимание, что IMA неизбежно прерывает подкачку по запросу, что может повлиять на производительность больших исполняемых файлов.

Сканеры памяти, которые ищут необычное содержимое памяти на основе базы данных о том, что должна иметь конкретная операционная система и области BIOS материнской платы. Он также может проверить, не настроен ли набор микросхем и IOMMU необычным образом.

Хотя я не знаю ничего подобного, работающего во время выполнения, вы можете использовать инфраструктуру CHIPSEC. CHIPSEC — это набор утилит, которые проверяют различные атрибуты прошивки, чтобы убедиться, что прошивка правильно настроила систему для обеспечения максимальной безопасности. Полезные модули и распространенные уязвимости перечислены на их вики. Платформа в первую очередь предназначена для поиска неправильных конфигураций встроенного ПО, которые позволяют перезаписать встроенное ПО во время выполнения.

Я не знаю ни одной утилиты, которая бы проверяла правильность настройки IOMMU. Как правило, вы можете убедиться, что он работает, проверив, предоставляет ли ваш журнал ядра информацию о DMAR, таблице ACPI, предоставленной BIOS, которая дает IOMMU информацию о диапазонах памяти, которые необходимо защитить. Я считаю, что tboot выполняет некоторые базовые проверки работоспособности в процессе внедрения DRTM. Обратите внимание, что могут быть способы обойти IOMMU, используя уязвимости ядра, и IOMMU не будет должным образом изолировать систему, если x2APIC или переназначение прерываний не поддерживаются или если ATS (службы преобразования адресов) поддерживаются и включены на любом устройстве PCIe.

Аппаратная безопасность сложна и, честно говоря, немного пугает. В одном документе объясняется, как переключить IOMMU в режим, который обычно считается более безопасным, но который позволяет графическому процессору выполнять злонамеренные атаки на системную память. Спецификации Intel для каждой отдельной модели процессора могут растянуться на многие тысячи страниц плотной технической информации (MSR, MMIO и т. д.). Из них большая часть информации намеренно скрыта и доступна только в конфиденциальных документах, защищенных NDA. Понимание ограничений IOMMU — непростая задача.

Антируткиты, которые сканируют такие вещи, как аномальные перехватчики в ядре и аномальные запущенные потоки.

Это сложно, потому что обычно программное обеспечение безопасности работает под управлением ядра. Руткит, скомпрометировавший ядро, сможет по своему желанию модифицировать сканер руткитов. Существует ряд модулей ядра, которые пытаются сканировать аномальные перехватчики (такие как перехваченная таблица системных вызовов), но их часто легко обойти, и они, как правило, полагаются на безопасность через неясность. Существует несколько решений на основе гипервизора, но зачастую они носят скорее экспериментальный характер или зависят от конкретной платформы.

Постоянные сканеры данных, которые сканируют необычные вещи в памяти, такие как зашифрованные данные и сетевой трафик, содержащий исполняемый двоичный код или необычный зашифрованный трафик. Он также может связываться с отдельным компьютером для мониторинга сети, чтобы проверять любой скрытый руткитом сетевой трафик, который появляется на компьютере для мониторинга и вызывает расхождения.

Похоже, это то же самое, что и предыдущий вопрос о «борцах с руткитами». Сканирование памяти невозможно выполнить надежно, если в системе есть руткит, и даже если его нет, это, как правило, зависит от эвристического анализа. В отличие от статического файла на компьютере, память может постоянно изменяться, саморедактироваться и сильно запутываться. Например, функции могут быть зашифрованы и расшифрованы непосредственно перед выполнением, прежде чем они будут перезаписаны. Программное обеспечение может выполняться с использованием обработчика ошибок страниц x86 с полным завершением по Тьюрингу. Многопоточный код (не связанный с многопоточностью!) можно использовать, чтобы скрыть назначение кода, поскольку по сути это преднамеренная ROP, выполняющая гаджеты не по порядку.

Системы обнаружения вторжений, особенно на основе аномалий, которые отслеживают сетевой трафик, входящий и исходящий из сети или хоста (работающий на выделенном компьютере).

Это называется NIDS или системой обнаружения сетевых вторжений. Они часто используют набор правил с широкими возможностями настройки, которые могут быть бесплатными, а могут и платными. Одним из самых популярных инструментов NIDS является Snort, который имеет как бесплатные наборы правил сообщества, так и коммерческие наборы правил, разработанные профессионалами. Если вы знакомы с синтаксисом, вы также можете написать свои собственные правила обнаружения аномалий. Snort может быть немного ресурсоемким и имеет большую поверхность атаки, что делает его идеальным для работы на физических брандмауэрах, как вы упомянули. Он может удаленно отправлять свои журналы на другие серверы.

Любые в первую очередь эвристические программы обнаружения угроз и все, что вы имеете в виду в этом направлении!

Если система обнаружения работает на хосте (а не по сети, как указано выше), это HIDS или система обнаружения вторжений хоста. Программное обеспечение HIDS часто работает вместе со средствами проверки целостности или может иметь свои собственные встроенные функции. Существует множество жизнеспособных вариантов HIDS, таких как OSSEC.Обратите внимание, что они часто требуют больших ресурсов и не особенно эффективны, если вы не будете бдительны и не будете поддерживать их правильно. Не существует программного обеспечения HIDS, которое можно было бы «установить и забыть», которое работало бы «из коробки». Если вы хотите улучшить безопасность, его нужно будет адаптировать к вашей системе.

Компания Gartner недавно опубликовала содержательный отчет под названием «Реальная ценность решения для защиты от вредоносных программ, не основанного на сигнатурах, для вашей организации». В этом отчете обсуждаются способы использования технологий без подписи для расширения стратегии защиты конечных точек организации.

Давайте посмотрим, как Gartner определила решения для обнаружения несигнатурных вредоносных программ. Вот клип прямо из отчета.

Итак, чем наши технологии защиты конечных точек противостоят решениям конкурентов?

Защита — обычно контроль приложений

Это функция, которую мы включаем в наши бизнес-продукты и которая по совпадению называется "Управление приложениями". Это то, о чем я специально не писал в блоге (пока). Эта функция отлично работает в корпоративной среде, где ИТ-отдел может создать определенный список сертификатов программного обеспечения или аутентификации, разрешенных в организации. Затем этот белый список применяется к каждой конечной точке, и разрешено выполнение только программного обеспечения, указанного в этом списке.

Контроль приложений особенно полезен в защищенных средах, таких как встроенные устройства (например, банкоматы или терминалы банковских касс), где список разрешенного программного обеспечения невелик и очень четко определен. В других корпоративных средах это может быть чрезмерно ограничивающим для конечного пользователя. Вот почему это бизнес-функция. Мы предоставляем местному ИТ-отделу возможность определить, как они хотят использовать эту функцию, исходя из того, насколько строгими являются их политики.

На самом деле я не уверен, как долго мы используем контроль приложений в наших продуктах. Насколько я помню, эта функция уже была, когда я начинал работать в F-Secure более 11 лет назад. (Я попытался установить World of Warcraft на свой рабочий ноутбук, чтобы развлечься в нерабочее время, и мне сразу же отказали.)

Усиление безопасности также может включать управление исправлениями. У нас есть компонент, который мы называем «Software Updater», функция которого состоит в том, чтобы перечислять все программное обеспечение в системе, проверять наличие последних версий исправлений и автоматически обновлять программное обеспечение в фоновом режиме, при этом пользователю не нужно ничего делать самому. Поскольку неисправленные уязвимости являются одним из наиболее распространенных способов заражения системы злоумышленником, управление исправлениями чрезвычайно полезно, поскольку освобождает администратора для выполнения других важных задач.

Защита памяти (предотвращение эксплойтов)

Наши собственные методы защиты от эксплойтов такие же, как и в продуктах без подписи. Мы перехватываем приложения и системные процессы, чтобы анализировать память и следы выполнения, выявлять подозрительное поведение и отключать нарушающие процессы. Это позволяет нам предотвращать эксплойты в отношении браузеров, подключаемых модулей браузера и распространенных приложений (таких как программы для чтения PDF и Microsoft Office). Это также полезно для перехвата атак по сценарию. Это та же технология, которая используется в нашем мониторинге активности/поведения, описанном ниже.

Изоляция

Технологии изоляции защищают систему, помещая процессы в песочницу и предоставляя им ограниченный доступ к операционной системе. Bromium — это первый продукт, который приходит мне на ум, когда я думаю о технологиях изоляции. Это то, чего мы не делаем, потому что это радикально другой подход к защите конечной точки, сродни тому, как взять Windows и заставить ее работать как iOS. Изоляция — действительно отличный способ защитить систему (если вы можете решить нетривиальные проблемы с удобством использования, которые она представляет). Если все сделано правильно, технологии изоляции могут свести на нет необходимость в большинстве других типов защиты.

Ближе всего к этому мы делаем анализ песочницы на клиенте. Когда мы сталкиваемся с некоторыми подозрительно выглядящими образцами, мы запускаем песочницу, запускаем рассматриваемый исполняемый файл, изучаем трассировку его выполнения и определяем, является ли образец вредоносным. Такой подход к анализу может поставить под сомнение производительность системы, поэтому мы не будем делать это с каждым файлом, с которым сталкиваемся. Разработчики вредоносного ПО обычно добавляют новые приемы защиты от эмуляции, позволяющие обойти песочницу, и это заставляет нас время от времени обновлять компоненты и правила.

Мониторинг активности/поведения

Я рассказал о наших технологиях защиты на основе поведенческого анализа в нескольких поясняющих постах. На самом деле, здесь есть один, полностью посвященный этой теме. Я не буду повторять то, что было в этом посте, за исключением того, что мы проводим анализ поведения конечных точек уже десять лет, и он входит в стандартную комплектацию каждого продукта Windows, который мы поставляем. Знакомы с Локки?Поведенческие правила, которые засекли конкретное семейство программ-вымогателей, были в нашем продукте более полугода, прежде чем он стал доступен.

Алгоритмическая классификация файлов

Недавно я писал здесь о том, как мы используем методы машинного обучения в различных технологиях защиты и обнаружения. Как утверждает этот объяснитель, мы использовали методы машинного обучения для обучения компонентов конечных точек выявлению подозрительности как на структурном, так и на поведенческом уровне. И опять же, мы внедряем эти технологии в наши продукты для Windows уже десять лет.

Мы отметили четыре из пяти пунктов. Что это делает с F-Secure?

Gartner — авторитетный и влиятельный игрок в сфере кибербезопасности. Многие предприятия обращаются к ним за советом при выборе нового продукта или решения. Мы понимаем, что терминология необходима для того, чтобы различать поставщиков чистых технологий и признанных игроков в сфере защиты конечных точек. В своем отчете Gartner использует термины «без подписи» и «на основе подписи», чтобы различать их. Проблема, как я вижу, заключается в том, что отделы маркетинга «нового поколения» извратили термин «основанный на подписи» на «только подпись».

Все технически подкованные люди знают, что на рынке нет продуктов для защиты конечных точек, использующих только сигнатуры. Но «на основе сигнатур» также подразумевается, что эта категория продуктов слишком сильно зависит от сигнатур для защиты от угроз. Это определенно не так. Например, у нас есть внутренние тестовые конфигурации с отключенными технологиями на основе сигнатур, и наши продукты по-прежнему отлично блокируют новые угрозы.

Большинство упомянутых поставщиков чистых продуктов используют единственную технологию из этого списка "несигнатурных" технологий в качестве основы для всего своего стека защиты (что некоторые отраслевые аналитики называют "функцией как продуктом"). »). Наш продукт использует четыре из этих технологий одновременно. Учитывая, что в отчете был представлен список «неподписных» поставщиков, а соответствующего списка «подписных» поставщиков нет, нам интересно, как именно будут классифицировать наши продукты, потому что мы явно не относятся к любой категории.

Системы обнаружения вторжений (IDS) — это основа мониторинга сети и важнейший компонент стратегии сетевой безопасности любой организации. В дополнение к мониторингу сети на предмет злонамеренной активности и нарушений политики, IDS сообщает эту информацию, чтобы определить, является ли необычная активность угрозой безопасности или другим типом аномалии.

Большинство устаревших решений IDS используют тот или иной тип обнаружения вторжений на основе сигнатур. Хотя этот подход эффективен при поиске последовательностей и шаблонов, которые могут соответствовать определенному известному IP-адресу злоумышленника, хэшу файла или вредоносному домену, он имеет ограничения, когда дело доходит до обнаружения неизвестных атак.

С другой стороны, предложения IDS на основе поведения, также известные как обнаружение угроз на основе аномалий, используют искусственный интеллект и машинное обучение, а также другие статистические методы для анализа данных в сети для выявления моделей вредоносного поведения, а также конкретных действий, которые могут может быть связано с атакой.

Оба подхода хороши, когда речь идет об обнаружении и устранении вредоносного поведения. Ниже мы опишем различия между двумя типами систем IDS и объясним, какой из них лучше подходит для современных сложных сетевых архитектур.

IDS на основе подписи

Первоначально используемый разработчиками антивирусов, сигнатура атаки использовалась для сканирования системных файлов на наличие признаков вредоносной активности. Решение IDS на основе сигнатур обычно отслеживает входящий сетевой трафик, чтобы найти последовательности и шаблоны, соответствующие конкретной сигнатуре атаки. Их можно найти в заголовках сетевых пакетов, а также в последовательностях данных, соответствующих известным вредоносным программам или другим вредоносным шаблонам. Сигнатуру атаки также можно найти в сетевых адресах назначения или источника, а также в определенных последовательностях данных или сериях пакетов.

При обнаружении на основе сигнатур используется известный список индикаторов компрометации (IOC). К ним могут относиться определенные типы поведения при сетевых атаках, известные последовательности байтов и вредоносные домены. Они также могут включать строки темы электронной почты и хэши файлов.

Одним из самых больших недостатков решений IDS на основе сигнатур является их неспособность обнаруживать неизвестные атаки. Злоумышленники могут просто изменить свои последовательности атак в рамках вредоносных программ и других типов атак, чтобы избежать обнаружения. Трафик также может быть зашифрован, чтобы полностью обойти инструменты обнаружения на основе сигнатур. Кроме того, в APT обычно участвуют злоумышленники, которые меняют свою сигнатуру более чем в 60 % случаев.

IDS на основе поведения

Решение IDS на основе поведения или аномалий выходит за рамки идентификации конкретных сигнатур атак для обнаружения и анализа вредоносных или необычных моделей поведения. Этот тип системы использует статистику, искусственный интеллект и машинное обучение для анализа огромных объемов данных и сетевого трафика и выявления аномалий.

Вместо поиска шаблонов, связанных с конкретными типами атак, IDS-решения на основе поведения отслеживают поведение, которое может быть связано с атаками, повышая вероятность выявления и устранения злонамеренных действий до того, как сеть будет скомпрометирована.

Благодаря интеллектуальному анализу данных с использованием искусственного интеллекта и машинного обучения решения IDS на основе поведения обеспечивают наилучшую линию защиты от сетевых нарушений. Они обеспечивают целостное представление о современных сложных, разветвленных сетях от помещений до центра обработки данных и облака. Это означает, что вредоносный и аномальный трафик будет обнаружен во всех физических и виртуальных сетевых атаках.

< бр />

Многие системы IDS нового поколения используют анализ сетевого трафика для интеллектуального анализа поведения сетевого трафика. Это включает в себя анализ моделей поведения, присущих всем объектам, связанным с сетью. Атрибуты, такие как IP-адреса источника и получателя, флаги TCP, порты источника и получателя, а также входящие и исходящие байты, используются для мониторинга и построения базовых показателей поведения. Затем вся новая активность каждого объекта сравнивается с его базовым уровнем для выявления аномального поведения и отклонений от исторической нормы.

Решения IDS на основе поведения критически важны для сетей с большим объемом трафика. При использовании в тандеме с защитой периметра эти предложения обеспечивают полный контроль над сетевым трафиком, а также оповещения при обнаружении подозрительного поведения.

Выбор правильного решения IDS

Когда дело доходит до выбора подходящего решения IDS для современных сложных сетей, выбор очевиден. Колоссальные 80 процентов предупреждений, генерируемых решениями IDS на основе сигнатур и политик, ненадежны. Предложения IDS на основе сигнатур обычно не могут обнаруживать вредоносное ПО и другие неизвестные угрозы. Это приводит к тому, что ресурсы, предназначенные для других критических предупреждений, отнимаются, что подвергает сеть риску.

Комплексное решение IDS нового поколения обычно включает обнаружение на основе сигнатур в качестве одного из компонентов своих многочисленных функций расширенной аналитики. В сочетании со статистическими данными и обнаружением аномальных угроз и поведения в результате получается мощный инструмент, который генерирует оповещения, а также интеллектуальные рекомендации о том, какие проблемы требуют дальнейшего изучения.

Согласно журналу Cyber Defense, "ни одна организация с конфиденциальными данными или критически важными операциями не должна обходиться без поведенческого обнаружения вредоносного ПО, расширяющего возможности существующих инструментов безопасности".

Наше руководство по обнаружению вторжений следующего поколения предлагает дополнительную информацию о том, как решения IDS нового поколения используют сложный анализ поведения для сбора, обнаружения, расследования сетевых аномалий и реагирования на них. Анализируя весь сетевой трафик, эти инструменты обеспечивают видимость и защиту, необходимые для защиты современных сложных и развивающихся сетей.

Читайте также: