Hogzilla IDS
Trata-se de um Sistema de Detecção de Intrusão altamente escalável que faz análise comportamental suportado por tecnologias bigdata. É utilizado na Unicamp.
Possui suporte a sFlows e vários métodos que permitem a identificação e alertas de:
- Port scans horizontais ou verticais
- Servidores SMTP abusados
- Servidores sendo atacados
- Comunicação com C&C em BotNets
- Servidores sofrendo ataque DDoS
- Hosts enviando spams
- Hosts com atividade maliciosa (botnets, worms, scans, etc)
- Hosts sendo usados para DDoS
- Comunicação P2P
- Comunicação de media streaming
- Túneis DNS
- Túneis ICMP
- Outros em implementação
- Identificação e classificação dinâmica de servidores da rede por grupos (exemplo: servidores web geralmente são identificados em um grupo)
- Identificação de sistemas operacionais usando essencialmente os sFlows
Um Projeto ou TCC que envolva este tema deverá ter uma revisão teórica que apresente ao menos os seguintes conceitos:
- Serviços
- Port scans
- Port Scans Horizontais
- Port Scans Verticais
- Túneis
- Atividade maliciosa (botnets, worms, spam, etc)
- P2P
- C&C (Comando e controle)
- DDoS
- Intrusão
- Detecção de Intrusão
- Diferença entre detecção e prevenção
- sFlows
Baseado em um e-mail enviado por Gesiel Galvão Bernardes para a lista GTS-L em 23 de Novembro de 2016
Nenhum comentário:
Postar um comentário