Cómo construir un servicio de detección de intrusiones basado en anomalías para una nube

Comience por elegir el tipo de datos que desea analizar y el mejor método para recopilarlos. Es posible que desee conectar datos de flujo que muestren la IP de origen y destino del paquete que atraviesa su red, junto con la cantidad de datos transferidos, las marcas de tiempo e incluso cualquier información de autenticación que lo acompañe. El mejor método para recopilar esto podría ser con NetFlow.

Otros tipos de información que pueden ser de interés podrían ser registros de eventos. Muchos dispositivos admiten el reenvío de eventos a un registrador centralizado. Existen productos de Splunk y AlienVault que pueden agregar estos registros y análisis de preformas. Lo que nos lleva a un motor de análisis.

Algo tendrá que ingerir todos estos datos recopilados y filtrar lo que es útil y lo que no. Los datos “interesantes” deberán compararse con otros tipos de datos, ya sean líneas base preconstruidas, firmas de ataque, lo que sea, para determinar las acciones que causaron la generación de estos datos. El motor de análisis tendría que ser lo suficientemente inteligente como para detectar cualquier cosa que no sea tráfico ordinario, sin generar alarma por eventos triviales.

Existen muchos productos que hacen estas cosas. Si está pensando en hacer uno desde cero, debe familiarizarse con los productos existentes que hacen estas cosas, identificar sus fortalezas y deficiencias, luego pensar en formas de lograr lo que hacen al abordar sus deficiencias y diseñar una mejor interfaz de usuario .

Related Content

¿Cuáles son los pros y los contras de la suscripción de software frente a la licencia perpetua?

Cómo cambiar en TI o computación en la nube desde Telecom

Para una audiencia no técnica, ¿puede describir cómo los servicios en la nube de autoservicio como AWS & Rackspace han transformado el mundo de TI en los últimos 10 años?

¿Cuáles son los ejemplos de modelo de implementación de computación en la nube privada e híbrida?

¿Cuáles son algunas de las mejores prácticas para mover un sitio de WordPress del alojamiento compartido a un servidor virtual o un servidor en la nube?

Los sistemas basados ​​en anomalías caen en la trampa de lo que es normal y lo que es una anomalía.
¿Cuál es la función forzada para construir una intrusión de detección de anomalías en la nube o para la nube?
El desafío más importante que enfrentará es obtener suficiente “información” en forma de Netflow o registros o lo que sea que esté buscando en la nube para que tenga sentido.
Como indican otras respuestas, explore lo que hay ahí fuera. Comercial o de código abierto tanto para prem y cloud.

Samyak Choudhary

Primero comienza tocando en un punto donde puede recopilar una gran cantidad de datos. Después de lo cual los recoge regularmente. Cree un conjunto de entrenamiento y aplique su herramienta de aprendizaje automático favorita. Entrena y sintoniza cuando y según sea necesario. Ejecute datos obtenidos más nuevos a través de su modelo y marque anomalías.

Aconsejo no reinventar la rueda. Entonces, si puede encontrar una solución existente, simplemente úsela (es decir, Snort).

Samyak Choudhary

More Interesting

¿Por qué tantas empresas se están mudando a la nube?

Cómo usar un servidor en la nube

¿Cuáles son las diferencias entre un servidor dedicado y una única instancia de nube?

¿Dónde puedo comprar una lista de correo electrónico de proveedores de alojamiento de computación en la nube?

¿Cómo espera Pure Storage competir con compañías como IBM en el mercado de almacenamiento flash?

¿Cuál es una utilización típica de un centro de datos en la nube? ¿Cuánta capacidad está reservada para las horas pico?

Si almaceno mis cosas en la nube con Google, ¿cómo se aseguran de que mis archivos estén seguros?

¿Cuáles son las mejores empresas para externalizar la gestión de servidores y la supervisión de la seguridad?

¿Cuáles son los mejores almacenamientos gratuitos en la nube para almacenar y recuperar archivos PDF y documentos?

¿AWS o Azure facilitan que un cliente configure una nube híbrida?

¿Cómo es el almacenamiento en la nube más barato en comparación con el interno?

¿Dónde puedo encontrar la lista de proveedores de servicios en la nube?

¿Quién es el mejor entre Google Drive, Microsoft Skydrive y Dropbox?

¿La computación en la nube tiene una capacidad de almacenamiento ilimitada?

¿Qué tan difícil es construir una plataforma en la nube desde cero?