虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

时间:2022-10-11 13:55:44


虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

类别列表是一种控制机制,用于根据类别对流量进行标记。在 nDPI(构建 ntop 应用程序的流量分类引擎)中,有多种类别,包括(但不限于)

  • 挖矿
  • 恶意软件
  • 广告
  • 文件共享
  • 视频流

虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

黑名单是 IP 地址或符号域名的列表,用于标记恶意流量。这些列表通常使用蜜罐计算,本质上是部署在网络(通常是 Internet)上的主机或服务,它们很容易被入侵,并且在使用/受到攻击时,它们充当了发现攻击者和入侵者的现代“试金石”。

黑名单通常包含公共 IP 地址/域名,因为它们用于“预测问题”:这是因为如果 IP 地址已被列入黑名单,则该主机做了坏事,因此当我们在网络中看到这样的流量时,对于这样的主机,我们需要小心,因为我们可能正在受到攻击/扫描。请注意,黑名单和蜜罐也可以部署在专用网络上:例如,您可以在网络中保留一系列未分配的 IP 地址并将它们添加到黑名单中,以发现通过横向移动扫描您 LAN 的内部主机。

在 ntopng 中,您可以使用左侧边栏中的黑名单菜单指定要使用的黑名单。

虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

ntopng 附带各种高质量的内置黑名单,由 ntopng 定期刷新。 事实上,非常重要的是:

  • 定期刷新黑名单,因为过时的信息可能导致误报。
  • 使用高质量的黑名单,它们由专业人员不断更新。

如上所述,您可以创建自己的黑名单并将其上传到 ntopng。您需要做的就是转到 /usr/share/ntopng/httpdocs/misc/lists/custom 并创建一个自定义配置文件,例如:

{"name":"MyBlackList","format":"ip","enabled":true,"update_interval":86400,"url":"https://blacklist.local/myblacklist.csv","category":"malware"}

它指示 ntopng 每天从 https://blacklist.local/myblacklist.csv 下载自定义黑名单,其中包含应该是恶意软件(或蜜罐)的 IP 地址(每行一个)。

每当 ntopng 在恶意软件列表中看到涉及主机的流时,就会生成警报

虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

对于这样的主机,可以使用接收者/端点机制触发一个动作。

扩展阅读

ntop产品介绍

虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信


虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:

  • PF_RING:一种新型的网络套接字,可显着提高数据包捕获速度,DPDK替代方案。
  • nProbe:网络探针,可用于处理NetFlow/sFlow流数据或者原始流量。
  • n2disk:用于高速连续流量存储处理和回放。
  • ntopng: 基于Web的网络流量监控分析工具,用于实时监控和回溯分析。