虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信
类别列表是一种控制机制,用于根据类别对流量进行标记。在 nDPI(构建 ntop 应用程序的流量分类引擎)中,有多种类别,包括(但不限于)
挖矿
恶意软件
广告
文件共享
视频流
黑名单是 IP 地址或符号域名的列表,用于标记恶意流量。这些列表通常使用蜜罐计算,本质上是部署在网络(通常是 Internet)上的主机或服务,它们很容易被入侵,并且在使用/受到攻击时,它们充当了发现攻击者和入侵者的现代“试金石”。
黑名单通常包含公共 IP 地址/域名,因为它们用于“预测问题”:这是因为如果 IP 地址已被列入黑名单,则该主机做了坏事,因此当我们在网络中看到这样的流量时,对于这样的主机,我们需要小心,因为我们可能正在受到攻击/扫描。请注意,黑名单和蜜罐也可以部署在专用网络上:例如,您可以在网络中保留一系列未分配的 IP 地址并将它们添加到黑名单中,以发现通过横向移动扫描您 LAN 的内部主机。
在 ntopng 中,您可以使用左侧边栏中的黑名单菜单指定要使用的黑名单。
ntopng 附带各种高质量的内置黑名单,由 ntopng 定期刷新。 事实上,非常重要的是:
定期刷新黑名单,因为过时的信息可能导致误报。
使用高质量的黑名单,它们由专业人员不断更新。
如上所述,您可以创建自己的黑名单并将其上传到 ntopng。您需要做的就是转到 /usr/share/ntopng/httpdocs/misc/lists/custom 并创建一个自定义配置文件,例如:
{"name":"MyBlackList","format":"ip","enabled":true,"update_interval":86400,"url":"https://blacklist.local/myblacklist.csv","category":"malware"}
它指示 ntopng 每天从 https://blacklist.local/myblacklist.csv 下载自定义黑名单,其中包含应该是恶意软件(或蜜罐)的 IP 地址(每行一个)。
每当 ntopng 在恶意软件列表中看到涉及主机的流时,就会生成警报
对于这样的主机,可以使用接收者/端点机制触发一个动作。
扩展阅读
虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:
PF_RING:一种新型的网络套接字,可显着提高数据包捕获速度,DPDK替代方案。
nProbe:网络探针,可用于处理NetFlow/sFlow流数据或者原始流量。
n2disk:用于高速连续流量存储处理和回放。
ntopng: 基于Web的网络流量监控分析工具,用于实时监控和回溯分析。
虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是:让网络安全更简单!凭借深厚的行业经验和技术积累,近几年来与世界行业内顶级供应商Morphisec,DataLocker,SSC,Mend,Apposite,Profitap,Cubro,Elproma等建立了紧密的合作关系。我们的解决方案包括网络全流量监控,数据安全,终端安全(动态防御),网络安全评级,网络仿真,物联网设备漏洞扫描,安全网络时间同步等行业领先解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动,重视技术培训和积累。
此外,我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作,为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案,坚持与客户一起思考,从工程师角度发现问题,解决问题,为客户提供完美的解决方案。
虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信相关推荐
- 虹科分享 | 简单实用的CANopen介绍,看完你就明白了(2)——CANopen框架与七种服务类型
目前,CANopen通讯协议已经在工业领域得到了广泛的使用,由于其面向对象的设计思路,CANopen协议已成为欧洲等国家的自动化公司标配的通讯接口之一.在本系列文章中,我们将介绍CANopen协议的基 ...
- 虹科分享 | 虹科智能自动化2022文章精选
虹科智能自动化事业部一直围绕着工业自动化.能源管理与楼宇自动化三大方向,为客户提供最满意的技术服务和最适合的解决方案,并结合客户需求.行业发展动向和产品资讯,虹科智能自动化团队为大家带来了丰富的技术文 ...
- 虹科分享 | 《面向金融行业的商业智能解决方案》白皮书
在以数据为中心的商业环境中,金融业面临着众多挑战,包括瞬息万变的市场动态.监管要求以及客户期望.金融行业从各种来源生成大量数据,包括交易.客户互动.市场数据和内部运营等.然而,如果缺乏有效的数据管理和 ...
- 虹科分享 | 如何测试与验证复杂的FPGA设计(3)——硬件测试
仿真和验证是开发任何高质量的基于 FPGA 的 RTL 编码过程的基础.在之前的文章中,我们介绍了面向实体/块的仿真以及如何在IP核中执行面向全局的仿真,即通过在每个输入信号上生成激励并验证 RTL ...
- 虹科PCAN在工程机械中的应用
1.CAN介绍 CAN是目前国际应用最广泛的现场总线之一,是一种有效支持分布式控制或实时控制的串行通信网络,是控制器局域网络(Controller Area Network)的简称.CAN最早于二十世 ...
- 【虹科分享】影响数字化仪精度的因素
数字化仪的两个关键参数是带宽和幅度分辨率.这两个参数不是独立的--随着带宽的降低,分辨率会提高.用户必须权衡选择数字化仪以满足他们的测量需求.在实际测量中,噪声和失真对数字化仪可实现的分辨率也有一定影 ...
- 虹科分享 | 盘点世界杯有趣小知识!带你感受体育赛事可视化的快乐!
卡塔尔世界杯 2022年卡塔尔世界杯是第二十二届世界杯足球赛,是历史上首次在卡塔尔和中东国家境内举行.也是第二次在亚洲举行的世界杯足球赛. 今年卡塔尔世界杯可谓精彩纷呈,花2000个亿在沙漠里打造出的 ...
- 虹科分享 | 集中管理的安全USB驱动器的好处
为了确保你的组织的数据安全,为使用者提供安全的USB驱动器是一个很好的开始.一个中央管理解决方案将确保消除所有丢失数据的风险,同时为你提供强大的生产力工具. 执行摘要 一个安全的U盘使用密码和硬件加密 ...
- 虹科分享 | 带您了解太赫兹成像技术及系统方案
上篇 太赫兹波定义为0.1-10THz范围内的电磁波,处于微波与红外之间,具有许多独特的性质,比如穿透性.非电离辐射.吸水性.指纹频谱等,在材料识别.安全检查与无损检测方面有诸多应用. 图1 太赫兹波 ...
最新文章
- AI居然能算出情侶能交往多久?使用分析语音数据進行預測
- Java相当于C#中的#region
- PDOStatement 类 FETCH_* 系列
- Eclipse 报 “Exception in thread main java.lang.OutOfMemoryError: Java heap space ”错误的解决办法...
- 网络学习(二十七)Windows XP 加入 Windows Server 2003 Active Directory
- javascript函数调用的几种方式
- 基于 Apache Hudi 构建流批一体系统实践
- 讨论ALL_ROWS模式和FIRST_ROWS模式
- DAS 2020 诚征论文及赞助!
- RxJS 系列之一 - Functional Programming 简介
- [教官] 目标中关村!偶滴工作日记
- linux看请求报文发送的ip,Linux C 实现最简单的ICMP_ECHO请求报文发送
- 深度学习2.0-24.过拟合与欠拟合
- Hadoop完全分布式 小bug -no.1 为啥我的集群只显示一个datanode!
- office完全卸载工具
- PS之PS 删除时出现无法完成请求,因为智能对象不能直接进行编辑。
- [UGUI源码剖析]—Rebuild 网格重建(画布刷新)系统
- 一文盘点五款 BLDC 风机参考方案,建议先马
- 快速减肥的30种方法
- 数据分析方法:结构分析法
热门文章
- 期权 matlab vba,最全的期权定价VBA模板
- Port 80 in use by “Unable to open process“ with PID 4!
- Windows平台在线安装Qt 6.0.0图文教程
- 利用镜像解决一系列下载速度慢的问题
- 数据挖掘之缺失数据缺失的各种插补算法比较
- Opencv3.4中使用SURF等算法使用错误的解决方法
- 《一个投资家的20年》读书笔记
- response+++php,GitHub - FelixHo/SCAP: 基于Bootstrap 3.0(Response)+ThinkPHP3.2的活动分享平台...
- Python单元测试详解
- 瑞萨RAe2studio快速上手视频笔记 一、瑞萨RAe2studio介绍