0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科分享 | 在ntopng中使用黑名单捕获恶意软件通信

虹科网络可视化技术 2022-10-11 09:42 次阅读

类别列表是一种控制机制,用于根据类别对流量进行标记。在 nDPI(构建 ntop 应用程序的流量分类引擎)中,有多种类别,包括(但不限于)

挖矿

恶意软件

广告

文件共享

视频

黑名单是 IP 地址或符号域名的列表,用于标记恶意流量。这些列表通常使用蜜罐计算,本质上是部署在网络(通常是 Internet)上的主机或服务,它们很容易被入侵,并且在使用/受到攻击时,它们充当了发现攻击者和入侵者的现代“试金石”。

黑名单通常包含公共 IP 地址/域名,因为它们用于“预测问题”:这是因为如果 IP 地址已被列入黑名单,则该主机做了坏事,因此当我们在网络中看到这样的流量时,对于这样的主机,我们需要小心,因为我们可能正在受到攻击/扫描。请注意,黑名单和蜜罐也可以部署在专用网络上:例如,您可以在网络中保留一系列未分配的 IP 地址并将它们添加到黑名单中,以发现通过横向移动扫描您 LAN 的内部主机。

在 ntopng 中,您可以使用左侧边栏中的黑名单菜单指定要使用的黑名单。

c8c6a230-48bb-11ed-b116-dac502259ad0.png

ntopng 附带各种高质量的内置黑名单,由 ntopng 定期刷新。 事实上,非常重要的是:

定期刷新黑名单,因为过时的信息可能导致误报。

使用高质量的黑名单,它们由专业人员不断更新。

如上所述,您可以创建自己的黑名单并将其上传到 ntopng。您需要做的就是转到/usr/share/ntopng/httpdocs/misc/lists/custom并创建一个自定义配置文件,例如:

{"name":"MyBlackList","format":"ip","enabled":true,"update_interval":86400,"url":"https://blacklist.local/myblacklist.csv","category":"malware"}

它指示 ntopng 每天从https://blacklist.local/myblacklist.csv 下载自定义黑名单,其中包含应该是恶意软件(或蜜罐)的 IP 地址(每行一个)。

每当 ntopng 在恶意软件列表中看到涉及主机的流时,就会生成警报

c8e57a70-48bb-11ed-b116-dac502259ad0.png

对于这样的主机,可以使用接收者/端点机制触发一个动作。


扩展阅读

ntop产品介绍

c922f300-48bb-11ed-b116-dac502259ad0.pngc92eb5dc-48bb-11ed-b116-dac502259ad0.png

虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:

PF_RING:一种新型的网络套接字,可显着提高数据包捕获速度,DPDK替代方案。

nProbe:网络探针,可用于处理NetFlow/sFlow流数据或者原始流量。

n2disk:用于高速连续流量存储处理和回放。

ntopng:基于Web的网络流量监控分析工具,用于实时监控和回溯分析。

c948015e-48bb-11ed-b116-dac502259ad0.png

c9565fd8-48bb-11ed-b116-dac502259ad0.gif


虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是:让网络安全更简单!凭借深厚的行业经验和技术积累,近几年来与世界行业内顶级供应商Morphisec,DataLocker,SSC,Mend,Apposite,Profitap,Cubro,Elproma等建立了紧密的合作关系。我们的解决方案包括网络全流量监控,数据安全,终端安全(动态防御),网络安全评级,网络仿真物联网设备漏洞扫描,安全网络时间同步等行业领先解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动,重视技术培训和积累。

此外,我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作,为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案,坚持与客户一起思考,从工程师角度发现问题,解决问题,为客户提供完美的解决方案。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59698
收藏 人收藏

    评论

    相关推荐

    华纳云:服务器设置黑名单名单方法

    黑名单是一种包含被禁止访问或使用的IP地址、域名、电子邮件地址或其他标识符的列表。任何在黑名单上的实体都将被拒绝访问服务器。 用途 :通常用于阻止已知的恶意IP地址、有不良记录的用户或不受欢迎的地区访问服务器,以减少安全威胁
    的头像 发表于 12-19 14:35 76次阅读

    CAN XL国际研讨会圆满落幕!演讲资料+获奖名单大放送!

    ,包括来自国际CiA协会、博世、英飞凌以及恩智浦等行业大咖,通过线上直播的形式,共同探讨了CANXL的最新进展和行业趋势。五大主题演讲总经理陈秋苑女士的热情欢迎
    的头像 发表于 11-09 01:01 282次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>CAN XL国际研讨会圆满落幕!演讲资料+获奖<b class='flag-5'>名单</b>大放送!

    应用 当CANoe不是唯一选择:发现PCAN-Explorer 6

    CAN总线分析软件领域,当CANoe不再是唯一选择时,PCAN-Explorer 6软件成为了一个有竞争力的解决方案。
    的头像 发表于 08-16 13:08 485次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>应用 当CANoe不是唯一选择:发现<b class='flag-5'>虹</b><b class='flag-5'>科</b>PCAN-Explorer 6

    中国激光雷达巨头被移出制裁黑名单

    据英国《金融时报》(Financial Times)发布报道,称从知情人士获悉: 美国国防部已决定将禾赛科技(Hesai)从中国军工企业黑名单中除名,因为五角大楼认为这家全球最大的电动汽车激光雷达
    的头像 发表于 08-14 19:17 1303次阅读
    中国激光雷达巨头被移出制裁<b class='flag-5'>黑名单</b>

    传禾赛科技将被美国国防部移出黑名单

    近日,据多位知情人士透露,全球最大的智能汽车激光雷达制造商之一——禾赛科技,将从美国国防部的黑名单中正式除名。这一决定不仅为禾赛科技的海外业务扩展扫清了障碍,也彰显了中国大陆电动汽车(EV)及相关技术领域的强劲实力。
    的头像 发表于 08-14 15:47 435次阅读

    美国将一中国激光雷达企业移出黑名单 禾赛科技暴涨

    据外媒报道,美国五角大楼决定将激光雷达制造商禾赛科技从中国军方关联企业“黑名单”中移除,而受此利好消息的影响,纳斯达克上市的禾赛科技股价暴涨,美东时间08月13日16:00:00收盘,禾赛科技股
    的头像 发表于 08-14 11:22 1579次阅读
    美国将一中国激光雷达企业移出<b class='flag-5'>黑名单</b> 禾赛科技暴涨

    艾体宝干货 IOTA流量分析秘籍第三招:检测黑名单上的IP地址

    艾体宝干货 | IOTA流量分析秘籍第三招:检测黑名单上的IP地址 IOTA 设备提供 RESTful API,允许直接访问存储设备上的数据。这对于集成到各种场景中非常有用。本例中,可以过滤当前
    的头像 发表于 07-16 11:48 381次阅读
    艾体宝干货 IOTA流量分析秘籍第三招:检测<b class='flag-5'>黑名单</b>上的IP地址

    IP黑名单的建立、应用与管理

    防病毒软件频繁发出关于非法或可疑网络行为的警告?搜索引擎页面结果明显减少?发送的电子邮件屡屡被标记为垃圾邮件,或者根本无法送达?那么你的ip很可能被列入黑名单了,那么什么是黑名单,为什么被列入
    的头像 发表于 07-15 11:24 431次阅读

    名单是什么意思

    名单是指一系列被认可的特殊入口,可以控制网络安全和信息安全,被认可的文件、网站、IP地址等才能够访问,而被禁止访 问的文件网站、IP地址等被黑名单拒绝访问。 白名单是指一系列的被认可的特殊入口
    发表于 05-31 17:01

    艾体宝干货 | 教程:使用ntopng和nProbe监控网络流量

    本文是关于使用 ntopng 和 nProbe 监控网络流量的教程。文章详细介绍了如何配置和使用这两个工具来监控和分析网络流量。内容涉及硬件和软件的安装、配置端口镜像、静态IP地址设置、SSH服务器
    的头像 发表于 05-29 15:35 868次阅读
    艾体宝干货 | 教程:使用<b class='flag-5'>ntopng</b>和nProbe监控网络流量

    新品 | E-Val Pro Plus有线验证解决方案

    标准-全新的外观和使用体验,改进屏幕导航功能-功率、内存和通道容量均有所提升-完全兼容现有的E-ValPro硬件、配件和ValSuite早期版本发布
    的头像 发表于 04-19 08:04 353次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>新品 | E-Val Pro Plus有线验证解决方案

    干货 | 长文预警!使用ntopng和NetFlow/IPFIX检测Dos攻击(上)

    本文深入研究了网络DoS攻击的现象,并介绍了如何利用NetFlow协议进行威胁检测和分析。通过使用工具如Ntopng和Wireshark,我们可以监控网络流量并及时识别潜在的DoS攻击,从而保护网络安全和稳定性。同时,探讨了未来的发展方向和应对策略,以建立更加健壮的网络防御体系。
    的头像 发表于 04-15 16:04 378次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>干货 | 长文预警!使用<b class='flag-5'>ntopng</b>和NetFlow/IPFIX检测Dos攻击(上)

    使用ntopng和NetFlow/IPFIX检测Dos攻击(上)

    起重要作用,此外,我会介绍在此次检测中使用到的工具软件。夏雨资深网络工程师网络工程师,专攻网络通信,负责网络流量监控的产品技术服务和售后服务,经验丰富,响应迅速。
    的头像 发表于 03-28 08:04 416次阅读
    使用<b class='flag-5'>ntopng</b>和NetFlow/IPFIX检测Dos攻击(上)

    谷歌Safe Browsing功能升级,提供实时URL保护,降低恶意网站攻击风险

    原来,Chrome浏览器用户仅能在标准级别的防护下,依靠在本地系统储存的不良网站黑名单,每隔30至60分钟与谷歌云服务器进行同步更新。
    的头像 发表于 03-15 11:30 628次阅读

    方案 | 车内智慧大脑:基于车载网络捕获的全景数据处理

    随着汽车电子技术的不断发展,车载网络已经成为汽车智能化和互联互通的关键组成部分。然而随着汽车系统的复杂性增加,CAN的带宽和数据处理能力已不足以满足快速增长的数据需求。为了应对这一挑战,智能互联提出了基于车载网络捕获的全景数
    的头像 发表于 12-25 11:34 476次阅读
    <b class='flag-5'>虹</b><b class='flag-5'>科</b>方案 | 车内智慧大脑:基于车载网络<b class='flag-5'>捕获</b>的全景数据处理