【虹科技術(shù)分享】如何通過使用ntopng跟蹤和打擊惡意軟件、勒索軟件、挖礦行為、僵尸網(wǎng)絡(luò)

惡意軟件黑名單對ntopng來說不是什么新鮮事。ntopng（包括ntopng Edge）集成新興威脅黑名單https://rules.emergingthreats.net，已經(jīng)有很長一段時(shí)間。ntopng3.6穩(wěn)定版還引入了一些網(wǎng)絡(luò)挖礦黑名單，ntopng將標(biāo)記在線挖礦網(wǎng)站并產(chǎn)生警報(bào)。

盡管有新的集成，但 ntopng 缺乏告知用戶當(dāng)前使用的列表能力以及讓他們驗(yàn)證每個(gè)列表的更新狀態(tài)。由于這些原因，我們決定實(shí)施分類列表，讓使用者對ntopng使用的列表有充分的了解和控制。

該頁面顯示ntopng當(dāng)前支持的所有列表。一個(gè)狀態(tài)徽章顯示該列表是否已被成功下載或遇到錯(cuò)誤。列表現(xiàn)在是一個(gè)總體的概念，并不限于惡意軟件，它只是將一個(gè)IP/域名列表與一個(gè)類別聯(lián)系起來。在未來，由于這個(gè)模型的靈活性，可以支持用戶提供的列表。

正如你從上面的圖片中看到的那樣，根據(jù)你設(shè)置的偏好，每天或每小時(shí)都會下載列表。這是因?yàn)閻阂廛浖斜硎浅掷m(xù)更新的，因此必須有最新的信息來保持它們的有效性。Num Hosts列報(bào)告了從列表中加載的實(shí)際規(guī)則數(shù)量。默認(rèn)情況下，列表是每天更新的，但可以從編輯對話框中對更新頻率進(jìn)行更改。也可以禁用每個(gè)單獨(dú)的列表。另一個(gè)重要的改進(jìn)是使用磁盤來存儲下載的列表。這樣一來，就不再需要在每次啟動時(shí)下載清單，那些暫時(shí)無法下載新清單的主機(jī)仍然可以使用以前下載的清單。

通過這一更新，我們還整合了一些新的強(qiáng)大的黑名單，這些黑名單只在ntopng的最新開發(fā)版本中可用。

Cisco Talos Intelligence: 基于IP的威脅檢測

ch Feodo Tracker Botnet C2 IP Blocklist: 基于IP的僵尸網(wǎng)絡(luò)檢測

ch Ransomware Domain/IP Blocklists: 基于IP/域名的勒索軟件檢測

ch SSLBL Botnet C2 IP Blacklist: 基于IP的威脅檢測

類別列表和自定義類別主機(jī)是強(qiáng)大的功能，在可見性和威脅檢測方面增加了ntopng的可用性。

每當(dāng)檢測到攻擊時(shí)，ntopng都會向您報(bào)告一個(gè)如下所示的警報(bào)，您可以用它來跟蹤問題。請記住，如果你在ntopng中啟用了連續(xù)的流量記錄，你可以從ntopng中下載攻擊的pcap來進(jìn)行全面檢查。

如果警報(bào)還不夠，您希望阻止此類威脅并優(yōu)化帶寬使用，您應(yīng)該很高興地知道，對于這一點(diǎn)ntopng Edge實(shí)現(xiàn)了，而且還有更多的功能!

ntopng Edge是旨在解決一些問題的軟件應(yīng)用程序：

將設(shè)備綁定到用戶

指定每用戶第7層協(xié)議策略（例如，使用X可以使用協(xié)議Y）

保護(hù)網(wǎng)絡(luò)免受惡意軟件的侵?jǐn)_以及與不安全目標(biāo)之間的連接

通過防止占用帶寬，確保均勻共享可用的Internet帶寬

ntopng Edge通過防止行為不當(dāng)?shù)闹鳈C(jī)損害帶寬，確保Internet始終可用于關(guān)鍵業(yè)務(wù)應(yīng)用程序。ntopng Edge還可以保護(hù)網(wǎng)絡(luò)免受有害流量的攻擊，例如洪或云上傳，這些流量可以為數(shù)據(jù)泄露鋪平道路。

ntopng Edge 特點(diǎn)：

確?；ヂ?lián)網(wǎng)可用性

第7層應(yīng)用程序流量阻止/限制

內(nèi)聯(lián)不安全流量阻止

服務(wù)微細(xì)分

活動和靜默設(shè)備發(fā)現(xiàn)

易于安裝且簡單使用

熱門文章推薦

【虹科】-使用Allegro快速分析網(wǎng)絡(luò)負(fù)載問題

【虹科】-如何分析VoIP網(wǎng)絡(luò)問題？

【虹科】使用Allegro進(jìn)行數(shù)據(jù)包取證分析

【虹科】Allegro-網(wǎng)絡(luò)端到端監(jiān)控

【虹科】使用nprobe+ntopng監(jiān)控上百個(gè)路由器流量

【虹科】- ntopng監(jiān)控大型網(wǎng)絡(luò)案例

ntop產(chǎn)品介紹

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡單且無需任何專業(yè)硬件即可實(shí)現(xiàn)高速流量分析。解決方案由多個(gè)組件構(gòu)成，每個(gè)組件即可單獨(dú)使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度，DPDK替代方案。

nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

n2disk：用于高速連續(xù)流量存儲處理和回放。

ntopng:基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具，用于實(shí)時(shí)監(jiān)控和回溯分析。

虹科是在各細(xì)分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)可視化與安全事業(yè)部，憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級供應(yīng)商Morphisec，Apposite，IoT Inspector，LiveAction，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)流量監(jiān)控，網(wǎng)絡(luò)流量采集和優(yōu)化，端到端網(wǎng)絡(luò)性能可視化，網(wǎng)絡(luò)仿真，網(wǎng)絡(luò)終端安全（動態(tài)防御），物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時(shí)間同步等解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術(shù)培訓(xùn)和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們在不斷創(chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴的方案，堅(jiān)持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。