Есть ли ПО, которое может обнаружить подозрительную активность в логах squid?

0

1

Доброго времени суток

Сабж

Сразу уточню, моральный облик пользователей меня не интересует ( от слова «вообще» ). Что нужно, так это поиск активности, которая характерна для вирусов, червей и прочих зловредов. Т.е. IDS. Также интересно, если можно задать профиль устройства и искать отклонения ( вот это - принтер, ему веб без надобности. а это телевизор, для него характерен только ютуб )

Для сетевого трафика есть snort. Но хотелось бы что-то подобное для squid

Ссылка

←	Этот я или crontab

Можно ли выгрузить снапшот (только данные снапшота, а все блоки) из LVM как из ZFS?

→

Вряд-ли что-то такое есть искаропки. Проще кормить весь траффик шлюза какому-нить IDS, в том числе сквидовый.

Либо написать самому, тут я думаю ничего сложного.

blind_oracle ★★★★★
(13.09.15 19:40:24 MSK)

Может fail2ban? По крайней мере с проверкой куда ломится принтер и телевизор справится может.

alozovskoy ★★★★★
(13.09.15 19:54:14 MSK)
Последнее исправление: alozovskoy 13.09.15 19:54:58 MSK (всего исправлений: 1)

Ссылка

Эта штука, называется, check point, только она не для кальмара и немного платная

anonymous
(13.09.15 21:07:29 MSK)

snort?

Pinkbyte ★★★★★
(14.09.15 12:27:57 MSK)

Ссылка

Ответ на: комментарий от anonymous 13.09.15 21:07:29 MSK

Спасибо, посмотрю

router ★★★★★
(15.09.15 13:39:35 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 13.09.15 19:40:24 MSK

Самому писать не вариант. Упирается не в сложность кода, а том, что вирусы и трояны нужно где-то брать, а потом изучать, какие следы они оставляют. Для одного человека это неподъёмная задача

router ★★★★★
(15.09.15 13:41:24 MSK) автор топика

Ответ на: комментарий от router 15.09.15 13:41:24 MSK

Я не говорю про конкретную активность троянов - я говорю просто про аномальную активность, простейшие паттерны.

К примеру - когда больше одного-двух клиентов начинают долбиться часто на один и тот же урл (управлялка botnet-ом) или что-то в таком духе. Или просто чаще определённого запрашивать страницы (быстрее, чем может кликать юзер).

Это вполне можно организовать, остальное можно доверить антивирусу (тот же ESET Gateway Security под линупс есть и имеет ICAP интерфейс, через который можно прикрутить сквид; Ну и кламав конечно, хоть он и не очень хорошо определяет врагов) или IDS.

blind_oracle ★★★★★
(15.09.15 14:31:06 MSK)