No Image

Что такое системные аномалии в компьютере

СОДЕРЖАНИЕ
0 просмотров
22 января 2020

Программа, использующая этот метод, наблюдает определённые действия (работу программы/процесса, сетевой трафик, работу пользователя), следя за возможными необычными и подозрительными событиями или тенденциями.

Антивирусы, использующие метод обнаружения подозрительного поведения программ, не пытаются идентифицировать известные вирусы. Вместо этого они прослеживают поведение всех программ. Это помогает исключить опасность полиморфизма вирусов. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить, что следует сделать.

В отличие от метода соответствия определению вируса в словаре, метод подозрительного поведения даёт защиту от совершенно новых вирусов и сетевых атак, которых ещё нет ни в одной базе вирусов или атак. Однако программы, построенные на этом методе, могут выдавать также большое количество ошибочных предупреждений, что делает пользователя маловосприимчивым к предупреждениям. Если пользователь нажимает мышью на окно «Принять» («Accept») в каждом случае появления такого предупреждения, антивирусная программа не приносит никакой пользы. В последнее время эта проблема ещё более усугубилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений.

Разное.

Для постсоветского поколения интернет и мобильная связь сплелись в одно неразрывное целое. Они пришли в быт одновременно, и значительно изменили реальность, добавив в нее новые, прежде недоступные, элементы.

Недруги сетей любят эксплуатировать это подсознательное чувство, сравнивая широкополосный доступ (в его домашне-сетевом варианте) и увешанных брендами ОПСОСов – к явному и безусловном технологическому выигрышу последних.

Спорить в общем-то сложно. Пока не прочитаешь историю развития этой самой сотовой связи. Она неплохо описана (если погуглить) и далеко не устлана розами. Например, около тридцати (!) лет, уже после принятия на вооружение самого принципа соты (1946 год), развитие шло несколькими путями.

Так что сотовую связь тоже делали "пионеры", которые с 1969 года (первая коммерческая сеть, 450 МГц, 6 каналов) сделали достаточно "чудес" и "ужастиков".

Одних стандартов сколько сменилось. До сегодняшних GSM и CDMA были AMPS, NMT-450, C-Nets, Radiocom 2000, RTMI/RTMS, TACS, DAMPS (в версиях IS-54 и IS-136), JDC, DCS-1800. Их история рождения и умирания – так вообще детективный роман, настоящая индустриальная романтика.

Россия увидела все это уже готовым к потреблению, на сильно "постпионерском" этапе. Так, в 1988 году у американцев использовалось около 2 мл. трубок – в России они появились только через пятилетку, а 2-х миллионная база, вероятно, была набрана только ближе к концу 90-х. Как раз к появлению самых первых широкополосных Ethernet-сетей.

Таким образом, сравнивать эти две части отрасли связи надо будет лет эдак через двадцать, когда стартовая разница перестанет быть так заметна.

Загрузка каналов WebStream (он же Сибирьтелеком) пока в открытом доступе. Вот один из графиков:

На всякий случай есть скриншоты:
(готовятся к публикации).

Интересно сравнить с диаграммой загрузки FTP Ethernet-провайдера (Искрателеком, Москва).

Обьем сервера 5 Терабайт, диски SATA 750Гиг Сегейт х 10 шт.

Кроме этого, в сети есть По IPTV, 2 промо HDTV, и коннективити с Интернет, которые то же дают загрузку. Впрочем, относительно FTP, весьма небольшую.

Прислал Алешин Дмитрий

Продолжение писем о купле-продаже сетей:

Письмо, опубликованное в обзоре №281, задело меня, как человека, продающего небольшую компьютерную сеть в Воронеже, до глубины души. Автор равняет всех малых Ethernet-провайдеров под одну гребенку и наделяет их следующими характеристиками:

  1. Они начинали строиться в середине 90-х между соседями по лестничной клетке на основе коаксиала и затем хаотически разрастались безо всякой системы.
  2. Оборудование расположено у пользователей "в коридорах"
  3. Кабель прокладывался энтузиастами-тинейджерами со всеми вытекающими последствиями. Никакие стандарты не соблюдались изначально.
  4. О легализации не задумываются либо делают это тогда, когда всё уже построено.
  5. 100-мегабитная магистраль на витой паре либо П-296 не подлежит модернизации, а потому испытывает перегрузки.
  6. Всё это происходит в Москве, поэтому "конкуренция дикая" со стороны ADSL и Ethernet-провайдеров.

Поэтому, утверждает автор, всё, что можно купить у таких сетей – абонентскую базу. Инфраструктуру придется перестраивать с нуля.

Однако, смею вас заверить, далеко не везде ситуация настолько плачевная и безнадежная. Бывают сети, которые начинали строиться уже в 21 веке с прицелом на последующую легализацию и с соблюдением ОСТН при строительстве, с гигабитной магистралью, продуманной топологией. К тому же в нашей стране ещё достаточно городов, где нет "дикой конкуренции" и клиентам сбежать просто некуда. В итоге перестройка требуется минимальная, если вообще требуется.

При покупке нужен взвешенный подход. Примерно как при покупке бу автомобиля. Ведь никто не будет утверждать, что покупать подержанные авто однозначно не стоит. Наоборот, трех-четырехлетние "япошки" расходятся, как горячие пирожки.

Надо внимательно посмотреть, насколько вас устраивает товар, сколько в него нужно вложить для доведения до нужной вам кондиции. А затем – применительно к сетям – посчитать, что дешевле: построить всё с нуля или купить готовое и немного переделать.

Принципиальная позиция – не покупать небольшие сети – возможно, сослужила Корбине неплохую службу, но где-то они наверняка упустили хорошую выгоду. Ведь порой можно купить готовую качественную инфраструктуру буквально по цене железа, из которого она построена, а то и дешевле.

Прислал Dmitriy, компьютерная сеть Реалан.

Вот такие занимательные повестки высылают в России компетентные органы.

Предоставить информацию по IP-связи на бумажном носителе. В принципе, все нормально – положено им ставить печати на документы-доказательства, никуда от этого не денешься. Но как можно давать запросы без указания адресов и интервала времени?

Как обычно, несколько ссылок:
Оказывается, при помощи поисковиков можно эффективно искать выставленные в сеть с дефолтовыми настройками веб-камеры. Вот пример запросов: первый, второй, третий. Тяжелого видео-контента в сети становится все больше.

Читайте также:  Термо реле регулятор для холодильника

Впрочем, на тему "самодельного" видео стало появляться подозрительно много информации. Вот, к примеру, сайт P2PTVGUIDE. Относительно бедненько, но идеи интересные.

Пользователи "СТРИМ ТВ" первыми в России получили "видео по запросу". Действительно, можно было бы считать это прорывом, но так как выбор ограничен 25-ю фильмами, больше похоже на апгрейд "Виртуального кинозала"

Между тем "Стрим" перешел от брата к сослуживцу. Как достижение прошлого руководителя подается "Ему за год удалось увеличить число абонентов платного телевидения с 2,5 до 35 тыс. человек". Правда можно вспомнить, что для это тариф на интернет "включая ТВ" стал дешевле, чем "без ТВ".

Про качество связи и техподдержки у ADSL-монополиста в Саратове.

Cisco versus Juniper?. Длинный и весьма интересный форумный трейд.

По 20 МГц в одни руки. Чиновники начинают выдачу частот для операторов WiMax. Странно, что не отложили это мероприятие до 2008 года – как это любят делать последнее время в отрасли связи.

Обновление в разделах:

  • Новые иллюстрации в Фотографиях сетевого оборудования, ZyXelADSLP-660HTW EE.
  • В разделе shop.nag.ru продолжается распродажа 3com 610 (компактная версия знаменитого 3com 1100) за $95. Из новинок можно, пожалуй, отметить простенький сварочный аппарат для оптоволокна Sumitomo 35SE за $4500. Для небольшой сети его вполне хватит.

Сетевые аномалии

Автор Эдуард Афонцев. Традиционно и академично, но тема более чем актуальная.

В настоящее время кибертерроризм из области научной фантастики все больше обретает реальные черты. Эффективно противостоять виртуальному врагу можно, только зная его в лицо. Поэтому читателю предлагается для ознакомления классификация сетевых аномалий, отражающая современное состояние проблемы. Автор надеется на продуктивное обсуждение данной темы в форуме.

Классификация сетевых аномалий

Известные сетевые аномалии (СА) настолько разнообразны, что единой классификации они не поддаются. Так, существует деление на активные и пассивные, внешние и внутренние, умышленные и неумышленные аномалии и т.д. Однако данные подходы не отражают всех характеристик изучаемого явления и являются ограниченными. Поэтому автором предлагается классификация СА с точки зрения объекта воздействия – информационной системы (ИС), включающей программно-аппаратный комплекс и сетевую инфраструктуру.

Согласно выбранному подходу можно поделить СА на две основные группы: программно-аппаратные отклонения и проблемы безопасности.

К программно-аппаратным отклонениям относятся: аппаратные неисправности, ошибки конфигурирования, ошибки программного обеспечения и проблемы производительности оборудования.

Нарушения сетевой безопасности включают в себя следующие аномалии: сканирование, атаки с целью отказа от обслуживания, вирусная активность, распространение программных "червей", эксплуатация уязвимостей, анализаторы трафика (сниферы) и сетевые модификаторы. Наибольший экономический ущерб операторам связи наносят атаки с целью перегрузки сетей или сервисов и сетевая вирусная активность.

Программно-аппаратные отклонения

Ошибки программного обеспечения компонентов ИС могут повлечь за собой перевод в нештатный режим с последующим прекращением предоставления сервисов.

Ошибки конфигурирования переводят функциональные возможности компонентов ИС в несоответствие штатным проектным параметрам, что нарушает общую работоспособность.

Нарушения производительности влекут за собой выход параметров ИС за пределы расчетных значений, что сопровождается нарушением обеспечения предоставления сервисов.

Аппаратные неисправности могут повлечь за собой как полный выход из строя отдельных компонентов ИС, так и деградирующее влияние отдельной подсистемы на весь комплекс.

Нарушения безопасности

Сетевое сканирование (network scan) производится с целью анализа топологии сети и обнаружения доступных для атаки сервисов. В процессе сканирования производится попытка соединения с сетевыми сервисами методом обращения по определенному порту. В случае открытого сканирования сканер выполняет трехстороннюю процедуру квитирования, а в случае закрытого (stealth) – не завершает соединение. Так как при сканировании отдельного хоста происходит перебор сервисов (портов), то данная аномалия характеризуется попытками обращения с одного IP адреса сканера на определенный IP адрес по множеству портов. Однако, чаще всего сканированию подвергаются целые подсети, что выражается в наличии в атакованной сети множества пакетов с одного IP адреса сканера по множеству IP адресов исследуемой подсети, иногда даже методом последовательного перебора. Наиболее известными сетевыми сканерами являются: nmap, ISS, satan, strobe, xscan и другие.

Анализаторы трафика или снифферы предназначены для перехвата и анализа сетевого трафика. В простейшем случае для этого производится перевод сетевого адаптера аппаратного комплекса в прослушивающий режим и потоки данных в сегменте, к которому он подключен, становятся доступны для дальнейшего изучения. Так как многие прикладные программы используют протоколы, передающие информацию в открытом, незашифрованном виде, работа снифферов резко снижает уровень безопасности. Отметим, что выраженных аномалий в работе сети снифферы не вызывают. Наиболее известными снифферами являются: tcpdump, ethereal, sniffit, Microsoft network monitor, netxray, lan explorer.

В компьютерной безопасности термин уязвимость (vulnerability) используется для обозначения слабозащищенного от несанкционированного воздействия компонента ИС. Уязвимость может являться результатом ошибок проектирования, программирования или конфигурирования. Уязвимость может существовать только теоретически или иметь эксплуатирующую программную реализацию – эксплоит. В сетевом аспекте уязвимостям могут быть подвержены информационные ресурсы, такие как операционные системы и ПО сервисов.

Вирусная сетевая активность является результатом попыток распространения компьютерных вирусов и червей, используя сетевые ресурсы. Чаще всего компьютерный вирус эксплуатирует какую-нибудь единственную уязвимость в сетевой прикладной службе, поэтому вирусный трафик характеризуется наличием множества обращений с одного зараженного IP адреса ко многим IP адресам по определенному порту, соответствующему потенциально уязвимому сервису. Примеры нескольких широко известных сетевых вирусов приведены ниже.

название вируса дата появления протокол порт
Nimda 2001 г tcp 80
Code Red 2001 г tcp 80
Slammer 2003 г udp 1434
Lovesan(Blaster) 2003 г tcp 135
Sasser 2004 г tcp 445
Читайте также:  Узнать об отключении электроэнергии

Сетевые модификаторы производят искажение передаваемых по сети данных с целью нарушения установившихся соединений или получения несанкционированного доступа к информационным ресурсам. К данному классу аномалий относятся спуфинг (spoofing), врезка (man-in-the-middle) и другие. Технология спуфинга позволяет злоумышленнику генерировать сетевые пакеты с поддельным адресом отправителя, принадлежащим закрытой сети, выдавая себя за санкционированного пользователя. Нарушения типа врезка выражаются в модификации сетевых потоков данных между конечными участниками соединения или подмене одного из сетевых сервисов.

Атаки типа "отказ в обслуживании" (Denial of Service, DoS) приводят к перегрузке и недоступности информационных (серверы, сервисы) или сетевых ресурсов (каналы связи, коммутаторы, маршрутизаторы).

Основные типы DoS атак:

  • Атаки, направленный на перегрузку информационных ресурсов серверов (ОС и приложений). Пример: mailbomb.
  • Атаки, использующие ошибки в реализации стека протоколов TCP/IP в ОС. Для этого используется генерирация специально сконструированной серии пакетов, при обработке которых происходит сбой в работе ОС. Примеры: teardrop, land.
  • Блокирование каналов связи и маршрутизаторов осуществляется с помощью мощного потока пакетов (flood, затопление), полностью задействующих вычислительные мощности маршрутизаторов или полосу пропускания канала связи. В итоге легитимный трафик игнорируется и пользователи получают отказ в доступе.

Существуют следующие разновидности DoS атак с точки зрения сетевых характеристик:

  • Tcp flood – поток tcp пакетов
  • Tcp syn flood – поток tcp пакетов с флагом установки соединения
  • Udp flood – поток udp пакетов
  • Icmp unicast flood – поток icmp пакетов
  • Icmp broadcast flood – пакеты с поддельным адресом источника и широковещательным адресом назначания вызывают поток ответов на данный адрес источника Примеры: smurf
  • Ip packet fragmentation – поток фрагментированных пакетов
  • Distributed DoS (DDoS) – распределенная атака DoS, использующая множество сетевых источников Примеры: Tribe Flood Network (TFN), Stacheldracht, Trinoo.

Фотозарисовки.

Немного фоток с Московских крыш и подвалов

Этот узел полгода назад уже публиковался в обзоре. С тех пор установлено еще одно шасси, еще одна патч-панель. Ящики поделены по ответственности – оптика и активка, между ними разбиты патч-панели на cat5e

Прислал Cyrill Malevanov.

Анонс

  • Занимательная BRASология;
  • Монтаж внутри строящихся зданий в г. Белгороде;
  • Выгодно ли покупать небольшие сети? (сбор статистики, жду писем);
  • Послегрозовой ремонт управляемых коммутаторов;
  • Оптические магистрали Турции (фотографии);
  • Традиционный пункт – ссылки на интересные места Сети. Присылайте письма – они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;
  • В "ужастиках" – усилившееся воровство кабеля.

Долгострой:

  • Пример настройки сервера для терминирования PPPoE (перенесен в долгострой);

Рубрика: Технические науки

Дата публикации: 14.11.2015 2015-11-14

Статья просмотрена: 1357 раз

Библиографическое описание:

Оладько В. С., Микова С. Ю., Нестеренко М. А., Садовник Е. А. Причины и источники сетевых аномалий // Молодой ученый. — 2015. — №22. — С. 158-161. — URL https://moluch.ru/archive/102/23376/ (дата обращения: 02.01.2020).

Рассмотрена проблема обеспечения безопасности корпоративных сетей организаций. В качестве основных причин нарушения безопасности и утечек информации разного уровня доступа, в организации, выделены действия злоумышленника. Показано, что для своевременного предотвращения атак злоумышленника и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети. Поскольку именно регулярный мониторинг состояния сети, позволит своевременно обнаруживать и отслеживать сетевые аномалии, а также проводить их подробный анализ, с целью выявления причин и источников аномалии. Проанализированы основные причины возникновения аномалий в сетевом трафике, к которым относят: сетевые атаки, ошибки пользователей, сбои и отказы аппаратного обеспечения, дефекты программного обеспечения, повреждения каналов связи. Рассмотрены способы проявления сетевых аномалий: видимые аномалии и аномалии, не имеющие видимых признаков. Выделены источники возникновения сетевых аномалий. Сделан вывод, что наиболее опасным источником сетевых аномалий являются действия злоумышленника. Показана и подробно проанализирована причинно-следственная связь между аномалиями и наиболее распространенными сетевыми атаками. Сделан вывод о возможности применения описания связи между атаками и аномалиями при написании правил и шаблонов алгоритмов обнаружения аномалий и атак.

Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.

Настоящее время характеризуется активным развитием интернет-технологий и появлением большого числа гетерогенных и распределенных систем, которые повсеместно используются организациями (государственными и частными) при реализации бизнес — процессов и предоставлении услуг. В данных системах и сетях ежедневно обрабатывается, передается и хранится информация различного уровня доступа, к которой получает локальный и/или удаленный доступ множество пользователей. Зафиксированное число утечек информации и атак злоумышленника на информационные и сетевые ресурсы ежегодно возрастает. Так по данным исследований аналитического центра компании InfoWatch за 2014 год [2] и первое полугодие 2015 года [3], число утечек информации в мире выросло на 22 %, в России — на 73 %, при этом более 39 % утечек приходиться именно на сеть, которая занимает лидирующее положение среди всех каналов. Поэтому, актуальной является задача обеспечения безопасности сетей и ресурсов организаций от утечек и угроз различной природы и характера.

В соответствии с [1], для своевременного предотвращения атак и обеспечения безопасности и устойчивости функционирования сети организации необходимо проводить регулярный мониторинг состояния сети и контролировать появления сетевых аномалий, поскольку именно они являются одним из основных признаков сбоев в работе сети и/или вторжения злоумышленника. Анализируя причины возникновения, источники и степень опасности сетевой аномалии, можно своевременно выявить нарушение и снизить риски от его последствий. Анализ литературных источников [4 — 6] показывает, что сетевые аномалии могут возникать по причинам, связанным с деятельностью злоумышленников, некомпетентностью и ошибками пользователей, неисправностью аппаратуры, повреждением каналов связи и дефектами программного обеспечения.

Читайте также:  Создать звуки самому для планшета

Существуют видимые аномалии, проявляющиеся в некорректной работе информационно-вычислительной системы в текущий момент времени и аномалии, не имеющие видимых признаков в текущий момент времени, но которые могут привести к сбоям спустя значительное время. При этом наиболее опасными являются аномалии, которые возникают в результате проведения сетевой атаки. При этом целью любой сетевой атаки является вторжение злоумышленника в систему и получение доступа к конкретным данным или ресурсу. Поэтому сетевые атаки могут проводиться в несколько этапов и отличаться разным уровнем сложности. Например, некоторые виды атак требуют большое количество вычислительных ресурсов и высокого уровня подготовки злоумышленника, другие способен осуществить рядовой пользователь, даже не предполагающий, какие последствия может принести его деятельность. Следовательно, для минимизации ущерба от возможного вторжения в систему и своевременного предотвращения атаки на ранних стадиях проведения, важно четко выявлять в обнаруженной аномалии признаки атаки и проводить оценку возможных последствий.

В таблице 1 представлена разработанная причинно-следственная связь между атаками злоумышленников, сетевыми аномалиями и их последствиями для безопасности сети организации.

Причины и последствия возникновения аномалий в сетевом трафике, источником которых является активность злоумышленника

Причина возникновения аномалии (источник)

Вид проявления аномалии

Последствия

Атаки на уровне приложений

эксплуатация известных уязвимостей и ошибок в программном обеспечении, сканирование и доступ к портам, ассоциированным с уязвимыми приложениями

злоумышленники могут получить доступ к АРМ пользователя сети, повысить привелегии, получить административный доступ

скачек в трафике по потокам/с, с несколькими пакетами в потоках от одного доминирующего IP-адреса

установка rootkit и использование системы для автоматизации процесса вторжения, позволяет злоумышленнику просканировать сотни тысяч систем за короткий промежуток времени

Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS)

наблюдается интенсивный поток трафика с множества IP-адресов на порты маршрутизаторов и серверов

происходят нарушения нормального функционирования системы, нарушается доступность данных и сервисов, которые обычно дополняются нехваткой ресурсов, необходимых для работы сети, операционной системы или приложений.

создание большого числа частично открытых соединений, увеличения числа SYN-пакетов

нарушения нормального функционирования системы

Атаки «Ping of Death»

получении слишком больших IP-пакетов.

сбой, отказ, зависание и перезагрузка системы

Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)

генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей.

появление нелегального зашифрованного трафика,генерация пакетов с подмененными IP-адресами источника, динамическое изменение размеров пакетов, IP-адресов и портов источника, появление в трафике большого числа пакетов на один IP-адрес

происходит вторжение в большое количество систем для последующего использования их при атаке. Затем следует фаза DoS-атаки, в течение которой захваченные системы используются для атаки на один или несколько объектов

Атаки «IP spoofing»

подмена IP-адресов источника на адреса из доверенных зон

злоумышленник внутри сети или за ее пределами выдает себя за компьютер, которому можно доверять

перехват сетевых пакетов, протоколов маршрутизации и транспортных протоколов, искажение передаваемых данных и включение новой информации в сетевые сессии

кража информации, хакинг текущего сеанса связи для получения доступа к частным сетевым ресурсам, анализ трафика — для получения информации о сети и ее пользователях, DoS-атаки, искажение передаваемых данных и включение новой информации в сетевые сессии

запросы к DNS-серверу, сканирование диапазона IP-адресов (ping sweeps) и сканирование портов

злоумышленники могут найти открытые порты, изучить характеристики приложений, выполняющихся на хостах

перехват пакетов передающихся по сети в открытом виде (службы telnet, FTP, SMTP, POP3 и т. д.), например имен пользователей и пароли, переключение потоков трафика с одного сетевого устройства (службы) на другое

злоумышленник может получить доступ к учетной записи системного пользователя, который хакер может использовать для создания новой учетной записи, и таким образом иметь доступ к сети и ее ресурсам в любое время

Атаки на пароли

подделка IP-пакетов и прослушивание пакетов, скачек в трафике по потокам/с, с несколькими пакетами от одного доминирующего IP-адреса

злоумышленники могут обеспечить себе вход в сеть, независимо от возможных будущих изменений взломанных данных

Port redirection attacks

переадресация сетевого трафика, падение в байтах или пакетах в одном потоке трафика и выброс в другом.

Передача злоумышленниками через межсетевой экран нелегального трафика

Вирусные и троянские атаки

выброс в трафике без доминирующего адреса назначения, но с одним или несколькими доминирующими портами назначения

примером вируса является программа, которая, удаляет некоторые сетевые файлы и инфицирует все другие версии файла command. com, которые сможет обнаружить.

Trust exploitation attacks

происходят, когда кто-либо пользуется преимуществом доверительных отношений в пределах сети

атака на внутреннюю сеть

Описанная авторами причинно-следственная связь может использоваться в процессе анализа обнаруженных аномалий, и в качестве основы для пополнения баз знаний и создания шаблонов, правил и сценариев алгоритмов обнаружения аномалий и атак.

По результатам проведенного исследования, можно сделать следующие выводы:

– для поддержания требуемого уровня безопасности корпоративной сети организации необходимо проводить регулярный мониторинг состояния сети и выявлять аномалии в сетевом трафике;

– обнаруженные аномалии следует подвергать тщательному анализу, с целью выявления их источника и причин возникновения;

– наиболее часто возникающие в сетевом трафике аномалии являются признаком проводимой злоумышленником атаки на объекты и ресурсы корпоративной сети;

– сетевые аномалии столь же разнообразны, как и сетевые атаки, поэтому между их признаками необходимо устанавливать связь.

Комментировать
0 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock detector