В докладе будет представлен обзор методов снятия и архивирования информации о сетевой активности и рассмотрены такие современные методы и концепций как административное сегментирование сети с использованием технологии виртуальных локальных сетей, использование высокоскоростных технологий коммутации кадров, сосредоточение интересующих информационных потоков в центральном коммутационном узле для возможности их фильтрации и учета.
Обзорно будет рассмотрена технология Cisco NetFlow. Дано понятие "нестандартной" сетевой активности (поведение большинства червей, вирусов и сетевых сканеров оказалось отлично заметно по аномально большому числу сетевых потоков) и будут рассмотрены возможные схемы реализации разборщика (парсера) сетевых потоков выявляющего подозрительную сетевую активность.
Использование подобной техники обработки сетевых потоков позволяет реализовать часть функций аппаратных систем обнаружения вторжений программным способом, что позволяет даже при отсутствии дорогостоящего оборудования иметь возможность мониторинга и реагирования на угрозы информационной безопасности.
Примечание. Тезисы докладов публикуются в авторской редакции
Ваши комментарии Обратная связь |
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск