LINUX.ORG.RU
ФорумAdmin

Есть ли ПО, которое может обнаружить подозрительную активность в логах squid?

 , ,


0

1

Доброго времени суток

Сабж

Сразу уточню, моральный облик пользователей меня не интересует ( от слова «вообще» ). Что нужно, так это поиск активности, которая характерна для вирусов, червей и прочих зловредов. Т.е. IDS. Также интересно, если можно задать профиль устройства и искать отклонения ( вот это - принтер, ему веб без надобности. а это телевизор, для него характерен только ютуб )

Для сетевого трафика есть snort. Но хотелось бы что-то подобное для squid

★★★★★

Вряд-ли что-то такое есть искаропки. Проще кормить весь траффик шлюза какому-нить IDS, в том числе сквидовый.

Либо написать самому, тут я думаю ничего сложного.

blind_oracle ★★★★★ ()

Может fail2ban? По крайней мере с проверкой куда ломится принтер и телевизор справится может.

alozovskoy ★★★★★ ()
Последнее исправление: alozovskoy (всего исправлений: 1)

Эта штука, называется, check point, только она не для кальмара и немного платная

anonymous ()
Ответ на: комментарий от blind_oracle

Самому писать не вариант. Упирается не в сложность кода, а том, что вирусы и трояны нужно где-то брать, а потом изучать, какие следы они оставляют. Для одного человека это неподъёмная задача

router ★★★★★ ()
Ответ на: комментарий от router

Я не говорю про конкретную активность троянов - я говорю просто про аномальную активность, простейшие паттерны.

К примеру - когда больше одного-двух клиентов начинают долбиться часто на один и тот же урл (управлялка botnet-ом) или что-то в таком духе. Или просто чаще определённого запрашивать страницы (быстрее, чем может кликать юзер).

Это вполне можно организовать, остальное можно доверить антивирусу (тот же ESET Gateway Security под линупс есть и имеет ICAP интерфейс, через который можно прикрутить сквид; Ну и кламав конечно, хоть он и не очень хорошо определяет врагов) или IDS.

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.