تشخیص Botnetها با استفاده از SIEM
(1388/06/04)

Botها به معضلی جدی بر روی شبکه‌ها تبدیل شده‌اند و شناسایی آن‌ها و تشخیص نحوه کار آن‌ها بسیار دشوار است. در این زمینه، ابزار‌های مختلفی برای کمک به مدیران شبکه وجود دارند که می‌توان به SIEM اشاره کرد. هنگامی که رایانه‌ای به یک Bot تبدیل می‌شود، شروع به انجام برخی رفتار‌ها می‌کند که از آن جمله می‌توان به برقراری ارتباط با مراکز فرماندهی یا C&C اشاره کرد. این ارتباطات معمولاً از الگو‌های خاصی پیروی می‌کنند و با بررسی فایل‌های ثبت وقایع قابل ردیابی هستند. یکی از راه‌های یافتن Botها، ردیابی تغییرات صورت گرفته بر روی سیستم از هنگام آلوده شدن است. تغییرات به وجود آمده در پیکربندی و یا فایل‌های اجرایی می‌توانند از این نمونه باشند. زیر نظر داشتن Processهای موجود در ویندوز و ردیابی موارد مشکوک نیز می‌تواند بسیار کمک کننده باشد. ردیابی فعالیت‌های صورت گرفته روی شبکه و ثبت موارد مشکوک نیز می‌تواند به ردیابی Botها کمک کند. همچنین زیر نظر داشتن Portهای خاص و غیر معمول نیز خالی از فایده نیست. تمامی این روش‌ها اگر به صورت خودکار اجرا نشوند بسیار خسته کننده و تکراری خواهند بود و از کارایی مطلوبی برخوردار نخواهند بود.

منبع خبر : http://www.networkworld.com/newsletters/techexec/2009/081009bestpractices.html

ارسال کننده : IUTcert APA - مركزآپای دانشگاه صنعتي اصفهان

کلمات کليدي: Bot, SIEM