Пытаюсь найти утилиту, которая бы могла уведомлять администратора о "необычном поведении". Под необычным поведением понимается выход наблюдаемого параметра (например, количества запросов к сайту или DNS-серверу) за определенные границы. Т.к. параметров много и вручную всем пороги не выставить, хочется, чтобы утилита сама собирала статистику и, сравнивая предыдущие значения с текущими, била тревогу.Хочу ее приспособить для раннего обнаружения DDoS-атак (хотя бы на три минуты раньше, чем все успеет полечь) и некорректного поведения роботов, запрашивающих странички сайтов.
Нет ли у кого на примете чего-то похожего?
"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort.
Не надо мешать мух и котлеты.
>"Утилиты для мониторинга определенных параметров" называются системами мониторинга, например nagios.
>Утилиты для мониторинга и обнаружения атак - это совершенно другая тема, например snort.
>Не надо мешать мух и котлеты.Не вижу никаких причин, почему системы мониторинга параметров не могут обнаруживать атаки (тот же nagios может зафиксировать DDoS-атаку по целому ряду признаков). Вопрос не в том, как назвать, а в том, где взять. К сожалению, ни nagios, ни snort не способы справиться с поставленной задачей. У первого для всех тестов пороги задаются в конфигах, у второго - обнаружение атак по статичным сигнатурам. Возможно, я ошибаюсь, и знатоки snort-а укажут возможный способ.
Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его среднее значение. Если в какой-то момент отклонение от среднего значения оказывается значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал тревоги.
тот же Zenoss
>тот же ZenossЕсли не сложно, ткните пальцем в мануал, где написано, как он это умеет. Я с ним не работал, и архитектуру его слабо представляю. В руководстве http://www.zenoss.com/community/docs/zenoss-guide/2.2.4/ не нашел ничего похожего.
>Задача проста, как мне кажется - постоянно отслеживать значение параметра, вычисляя его
>среднее значение. Если в какой-то момент отклонение от среднего значения оказывается
>значительным (условно говоря, выходит за пределы "трех сигма") - выдавать сигнал
>тревоги.Я никогда не сталкивался с системами обнаружения, но зная теорию - это собственно основной принцип подобного рода систем )
Что можно вообще отловить "статическими сигнатурами" )
>Я никогда не сталкивался с системами обнаружения, но зная теорию - это
>собственно основной принцип подобного рода систем )
>Что можно вообще отловить "статическими сигнатурами" )Обнаружение аномалий - совершенно точно не основной способ работы snort, а он позиционирует себя "the de facto standard for intrusion detection/prevention".
>У первого для всех тестов пороги задаются в конфигах,И в каком месте это является проблемой?
>И в каком месте это является проблемой?Вы первое сообщение топика читали или зашли отметиться в обсуждении?
Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что вы подразумеваете занесение пороговых значений в конфиги.
>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что
>вы подразумеваете занесение пороговых значений в конфиги.Нет, коллега спрашивает про весьма интересную вещь - определение атак не по сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно можно описать "пороговыми значениями" - но вся соль в том, что эти самые значения выставляются системой автоматически - после сбора статистики.
у Cisco это называется MARS.
GPL решения пока не видел
>>Читал, может все-таки объясните в чем проблема. Используя телепатию могу предположить, что
>>вы подразумеваете занесение пороговых значений в конфиги.
>
>Нет, коллега спрашивает про весьма интересную вещь - определение атак не по
>сигнатурам, а на основании статмодели "нормального поведения" сети. Финально все конечно
>можно описать "пороговыми значениями" - но вся соль в том, что
>эти самые значения выставляются системой автоматически - после сбора статистики.
>у Cisco это называется MARS.
>GPL решения пока не виделвру. поискал - и вот что нашел http://www.bro-ids.org/Features.html
Но сути обычная policy-based IDS. Но с функцией Anomaly-Based IDS.
Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что при первом взгляде кажется, что пороговые значения нужно заносить в конфиг, но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова для всех параметров, ведь в общем случае любой параметр это вещественное число + история его изменения в БД.
>Чем здесь не устраивает nagios + самописный плагин? Я конечно понимаю, что
>при первом взгляде кажется, что пороговые значения нужно заносить в конфиг,
>но вот добавив капельку воображения ставим прослойку, которая будет вычислять отклонения
>и отдавать нагиосу только ok, critical, warning. Причем прослойка будет одинакова
>для всех параметров, ведь в общем случае любой параметр это вещественное
>число + история его изменения в БД.не устраивает объемом "самописности".
Вы представляете себе мат-аппарат? способ определения весовых коэфицентов?
Ну вообще-то я математик по образованию :)