hermano NIDS a base de código abierto, basados en UNIX que monitorea de manera pasiva el tráfico de la red y busca actividad sospechosa
Descargar ahora

hermano Clasificación y resumen

hermano Etiquetas

monitor monitor de red detectar detectar intrusión intrusión detector de ataque

hermano Descripción

NIDS de código abierto, basado en UNIX que monitorea pasivamente el tráfico de la red y busca una actividad sospechosa El sistema de detección de intrusos de la red Bro detecta intrusiones por el primer tráfico de red de análisis de análisis para extraer es la semántica a nivel de aplicación y luego ejecutando analizadores orientados a eventos que comparan la actividad con los patrones considerados problemáticos. Su análisis incluye la detección de ataques específicos (incluidos los definidos por las firmas, pero también las definidas en términos de eventos) y actividades inusuales (por ejemplo, ciertos hosts que se conectan a ciertos servicios, o patrones de intentos de conexión fallidos) .bro utiliza un lenguaje de política especializado Eso permitirá que un sitio adapte a la operación de Bro, ambos a medida que se descubran nuevos ataques y, a medida que las políticas del sitio evolucionan. Si Bro detecta algo de interés, se puede indicar que generen una entrada de registro, alerta al operador en tiempo real, ejecute un Comando del sistema operativo (por ejemplo, para finalizar una conexión o bloquear un host malicioso en la marcha). Además, los archivos de registro detallados de Bro pueden ser particularmente útiles para los objetivos de Forensics.BRO a alta velocidad (GBPS), la detección de intrusos de alto volumen. Al aprovechar juiciosamente las técnicas de filtrado de paquetes, Bro puede lograr el rendimiento necesario mientras se ejecuta en el hardware de PC disponible comercialmente, y por lo tanto puede servir como un medio rentable para monitorear la conexión a Internet de un sitio. Aquí hay algunas características clave de "Bro": Red basada: · Bro es un IDS basado en la red. Recopila, filtra y analiza el tráfico que pasa a través de una ubicación de red específica. Un solo monitor de Bro, colocado estratégicamente en un cruce de red clave, se puede usar para monitorear todo el tráfico entrante y saliente para todo el sitio. Bro no usa ni requiere instalación de software de cliente en cada computadora en red. Idioma de scripting personalizado: · Los scripts de políticas de Bro son programas escritos en el idioma de Bro. Contienen las "reglas" que describen qué tipo de actividades se consideran problemáticas. Analizan la actividad de la red e inician acciones basadas en el análisis. Aunque el idioma de Bro toma algún tiempo y esfuerzo para aprender, una vez dominado, el usuario de Bro puede escribir o modificar las políticas de Bro para detectar y alertar en prácticamente cualquier tipo de actividad de red. Scripts de política preescritos: · Bro viene con un rico conjunto de scripts de políticas diseñados para detectar los ataques de Internet más comunes al tiempo que limitan el número de falsos positivos, es decir, alertas que confunden la actividad poco interesante con la importante actividad de ataque. Estos scripts de políticas suministrados se ejecutarán "fuera de la casilla" y no requieren conocimiento del idioma de Bro o la mecánica de script de política. Funcionamiento poderoso de la firma: · Las políticas de Bro incorporan una instalación de coincidencia de firmas que busque contenido de tráfico específico. Para BRO, estas firmas se expresan como expresiones regulares, en lugar de cadenas fijas. Bro agrega una gran cantidad de energía a su capacidad de firma-coincidencia debido a su rico lenguaje. Esto permite que Bro no solo examine el contenido de la red, sino que entienda el contexto de la firma, reduciendo en gran medida el número de falsos positivos. Bro viene con un conjunto de políticas de firmas de alto valor, seleccionadas por su alta detección y bajas características falsas positivas. Análisis de tráfico de red: · Bro no solo busca firmas, sino que también puede analizar los protocolos de red, las conexiones, las transacciones, las cantidades de datos y muchas otras características de la red. Tiene poderosas instalaciones para almacenar información sobre la actividad pasada e incorporarla en análisis de nueva actividad. Detección seguida de la acción: · Los scripts de políticas de Bro pueden generar archivos de salida que registran la actividad vista en la red (incluida la actividad normal de los no ataques). También pueden generar alertas de problemas a los registros de eventos, incluida la instalación de Syslog del sistema operativo. Además, los scripts pueden ejecutar programas, lo que puede, a su vez, enviar mensajes de correo electrónico, páginas el personal de guardia, termina automáticamente las conexiones existentes o, con un software adicional apropiado, inserte bloques de control de acceso en la lista de control de acceso de un enrutador. Con la capacidad de Bro para ejecutar programas a nivel del sistema operativo, las acciones que BRO puede iniciar solo están limitadas por la computadora y las capacidades de red que admiten Bro. Soporte de compatibilidad de snort: · La distribución de Bro incluye una herramienta, Snort2BRO, que convierte las firmas de resoplores en las firmas de Bro. Junto con la traducción del formato de las firmas, Snort2BRO también incorpora una gran cantidad de mejoras al conjunto estándar de firmas de snort para aprovechar el poder contextual adicional de Bro y reducir los falsos positivos.

hermano Software relacionado