效用可以用来“表明存在对手或攻击的进展”
Deepfence推出了新的开源工具包机,捕获来自多个来源的网络流量以揭示潜在的黑客行为。
packetstreamer.传感器在远程主机上收集原始网络数据包,应用过滤器,并将其转发到中央接收器过程,其中它们以PCAP格式编写。可以使用传输层安全性压缩或加密流量流(TLS.)。
该公司表示,传感器对远程主机的性能影响很小,并且它们可以在Docker主机上和Kubernetes节点上的裸金属服务器上运行。
然后,用户可以处理PCAP文件或实时对流量的流量,例如Zeek,Wireshark或Suricata等工具,或作为直播流机器学习楷模。
用例
Owen Garrett,社区和产品的产品负责人表示,主要应用程序可能会检查哪些请求服务器正在为调试,在事件发生并威胁狩猎活动的目的进行处理。
“系统管理员可能会发现它有助于调试运行应用程序,”他告诉每日SWbeplay2018官网IG.。
“网络安全团队可能会发现捕获事故前取证或支持威胁狩猎活动的网络流量有用。研究人员可能会发现捕获真正的学习交通有用。“
他说,还有越来越多的活动,周围使用机器学习来了解网络流量。
“目标是准确地建立”正常“流量的基线,识别异常值和可能的异常,然后将这些异常相关联,以识别可能表明存在对手或攻击进展的事件序列,”他说。
DeepFence的威胁性攻击分析和威胁评估平台使用此过程来捕获来自生产平台的流量,用于取证和异常检测。
该公司声称,据我们所知,没有其他简单,轻量级,可扩展的方法,可以从多个云中捕获和流从虚拟化环境(如K8S,VM或Fargate)的数据包进行流。
“问题是,现代计算环境与遗留环境完全不同 - 它们是基于云的,跨越大量服务器,以及使用虚拟化技术和集装箱平台,”加勒特说。
“PacketStreamer采取当代网络捕获并将其转换为现代,云天然环境。“
加勒特说,该公司欢迎捐款,并迄今为止它具有出色的反馈。
“我们有许多计划和提升要求,”他说。“我们将首先记录更多的用例,包括有关如何将数据库数据从PacketStreamer馈送到公共数据存储和分析工具(如Redis,Apache Kafka和Elasticsearch)的分析工具的详细信息。”
