手机版
你好,游客 登录 注册
背景:
阅读新闻

Netcap发布,用于安全和可扩展的网络流量分析框架

[日期:2018-12-24] 来源:Linux公社  作者:醉落红尘 [字体: ]

上周,一个新的流量分析框架Netcap(NETwork CAPture)发布。 它将网络数据包流转换为可访问的类型安全结构化数据,以表示特定协议或自定义抽象。

这个项目是用Go编程语言实现的,它提供了一个垃圾收集的内存安全运行时,因为解析不受信任的输入可能很危险。它是为过滤,数据集标记,编码,错误记录等一系列实验而开发的:实现和评估基于安全和可扩展异常的网络入侵检测

Netcap项目在布达佩斯的2018年卡巴斯基实验室SecurIT杯中获得第二名。

Netcap发布,用于安全和可扩展的网络流量分析框架

Netcap为何推出?

企业通信网络经常受到先前未见过的恶意软件或内部威胁的攻击,这使得诸如基于异常的入侵检测系统等防御机制成为检测安全事件所必需的。基于签名和异常的检测策略依赖于从网络流量中提取的需要安全和可扩展的收集策略的特征。

可用的解决方案是用低级系统编程语言编写的,这些语言需要手动内存管理,并且存在允许远程攻击者禁用网络监视器的漏洞。其他人缺乏灵活性和数据可用性。为了解决这些问题,并通过基于异常的检测技术简化未来的实验,Netcap发布了。

Netcap使用Google的协议缓冲区对其输出进行编码,这有助于通过各种编程语言访问它。输出也可以以逗号分隔值的形式发出,这是数据分析工具和系统的常用输入格式。 Netcap是可扩展的,它提供了多种方式来添加对新协议的支持,并以内存安全的方式实现解析逻辑。

它提供了观察到的流量的高维数据,并允许研究人员专注于检测网络环境中恶意行为的新方法,而不是选择数据收集机制和后处理步骤。它采用并发设计,利用多核架构。此命令行工具侧重于可用性和可读性,并在处理数据包时显示进度。

为什么是Go?

Go,通常被称为Golang,是一种静态类型的编程语言,由Google于2009年发布.Netcap选择了Go,因为它的语法类似于C编程语言,并且还有许多其他语言采用的想法,例如Python和Erlang。它通常用于网络编程和后端实现。使用Go Netcap可以更快地编译并轻松生成静态链接的二进制文件。

Goroutine,一个异步进程根据需要多路复用到OS的线程上。如果goroutine阻塞,相应的OS线程也会阻塞,但其他goroutine不受影响。因此,这证明在Netcap中有用,因为它不会干扰功能。此外,与线程相比,Goroutines更便宜,并根据需要动态分配资源。因为,Go提供通道作为goroutines之间通信的轻量级方式,Netcap中的同步和消息传递过程变得更加容易。

Netcap的设计目标

  • Netcap在解析不受信任的输入时提供内存安全性。
  • 它具有易于扩展的特点。
  • 输出格式可与许多不同的编程语言互操作。
  • 它具有并行设计。
  • 它带有在磁盘上具有小存储空间的输出。
  • 它提供最大的数据可用性。
  • 它允许实现自定义抽象
  • 它具有丰富的平台和架构支持

未来发展

Netcap的未来发展将侧重于提高单元测试覆盖率和性能关键操作。 Netcap的输出将与其他工具进行比较,以确保不会遗漏或错误解释数据。 Netcap将在未来扩展,具有支持提取功能等功能。

该框架可用于数据集上的实验,以准确预测网络数据。编码特征向量也可以作为Netcap框架的一部分来实现。将来可以添加用于添加附加应用层编码器的接口。将对Netcap进行评估,以监控工业控制系统通信。销售人员最近开源的SSH握手指纹策略(HASSH)可能在将来证明是有益的。

从Philipp Mieden(Netcap的创建者)在巴伐利亚科学与人文科学研究院莱布尼兹超级计算中心的演示文稿上查看该项目的幻灯片。

许多用户都很欣赏这个项目所做的努力,并热切期待将来可能发布的功能。

但是一些用户认为这个应用程序提供的功能仍然不清楚。论文错过了许多要点,主要的一点是这个工具如何作为一个整体得到实际保证。问题是如何检测该项目的异常情况?很多问题仍然没有答案。

PDF完整文档可以到Linux公社资源站下载:

------------------------------------------分割线------------------------------------------

免费下载地址在 http://linux.linuxidc.com/

用户名与密码都是www.linuxidc.com

具体下载目录在 /2018年资料/12月/24日/Netcap发布,用于安全和可扩展的网络流量分析框架/

下载方法见 http://www.linuxidc.com/Linux/2013-07/87684.htm

------------------------------------------分割线------------------------------------------

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-12/156016.htm

linux
相关资讯       Netcap 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款