The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.11.2014 13:00  Компания Cisco открыла OpenSOC, платформу для анализа больших объемов трафика

Компания Cisco представила новый открытый проект OpenSOC, в рамках которого развивается высокомасштабируемый фремворк для анализа больших объёмов информации о трафике с целью выявления возможных атак, обнаружения утечек закрытых данных и проведения расследования инцидентов, связанных с безопасностью. Система позволяет в режиме реального времени организовать анализ, выявление аномалий и генерацию предупреждений для трафика уровня дата-центра, интенсивность которого составляет миллионы пакетов в секунду. Наработки проекта опубликованы под лицензией Apache 2. Для организации работы хранилища используются такие открытые проекты, как Apache Hadoop и Elasticsearch.

Основные компоненты фреймворка:

  • Механизм для захвата, хранения и нормализации любых типов данных телеметрии (данных о трафике), поступающих c экстремально высокой интенсивностью (миллионы пакетов в секунду);
  • Система для передачи полученных потоков данных в различные блоки обработки для анализа, расширенных вычислений и принятия решений;
  • Обработчики данных в реальном режиме времени, выполняющие обработку и привязку дополнительных сведений к полученной телеметрии, таких как местоположение и информация из DNS. В результате телеметрия снабжается данными о контексте, текущей ситуации и важности для последующего исследования;
  • Бэкенд для хранения данных о трафике в хранилище на основе Hadoop, предоставляющий удобные механизмы для извлечения данных и реконструкции сведений о принадлежности пакетов. Данные могут храниться произвольное время и использоваться для последующего анализа инцидента или выявления источника утечек. Например, можно получить сведения о том, от кого была атака, какие данные могли попасть в руки атакующих и когда были отправлены данные;
  • Автоматизированная система индексации потоков телеметрии (перехваченных пакетов) в режиме реального времени. Система основана на коде Elastic Search;
  • Возможность использования SQL для обращения к данным в хранилище Hadoop (используется Apache Hive);
  • Механизмы для выявления корреляции между данными телеметрии, через применение расширенных методов анализа и средств машинного обучения;
  • Набор интерфейсов ODBC/JDBC для обеспечения интеграции с внешними аналитическими инструментами;
  • Пользовательский web-интерфейс, дающий возможность исследователю безопасности централизованно оценить потоки данных и проследить за выявленными предупреждениями о возможных проблемах. Предоставляется возможность расширенного поиска информации и извлечения данных о содержимом пакетов.


  1. Главная ссылка к новости (http://blogs.cisco.com/securit...)
  2. OpenNews: Компания Cisco открыла реализацию блочного шифра FNR
  3. OpenNews: Компания Cisco открыла OpenAppID, систему выявления трафика приложений
  4. OpenNews: Компания Cisco опубликовала исходные тексты видеокодека OpenH264
  5. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
Лицензия: CC-BY
Тип: Программы
Ключевые слова: cisco, traffic
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 13:20, 18/11/2014 [ответить] [смотреть все]
  • –1 +/
    "используется Apache Hive" - мда, будит медленно....
     
     
  • 2.5, Йух, 14:49, 18/11/2014 [^] [ответить] [смотреть все]
  • +/
    Чтобы защищать, анализировать и контроллировать 1 ДЦ, рядом надо будет строить еще один.

    но его тоже надо защищать, анализировать и контроллировать

    Рекурсия однако, циска хочет себе бесконечно сладкий апельсин?

     
  • 2.9, Аноним, 18:05, 18/11/2014 [^] [ответить] [смотреть все]
  • –1 +/
    будЕт, баклан.
     
     
  • 3.14, XoRe, 15:16, 21/11/2014 [^] [ответить] [смотреть все]
  • +/
    > будЕт, баклан.

    его мама будит :)

     
  • 1.2, A.Stahl, 13:22, 18/11/2014 [ответить] [смотреть все]
  • +3 +/
    >>высокомасштабируемый фремворк
    >высокомасштабируемый

    Если бы вся лапша, которую развешивают маркетологи, была материальна, то голодные дети Уганды умерли бы, будучи ей раздавлены.
    Может штука и хорошая, но метод подачи вызывает отвращение.
    Впрочем, это циско -- значит штука не может быть хорошей.

     
     
  • 2.3, _KUL, 14:01, 18/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Почему? Где они наследили в опенсурсе, вроде не плохие вещи получаются. Кроме бэкдоров в Cisco IOS их больше винить не в чем.
     
     
  • 3.4, A.Stahl, 14:11, 18/11/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    >Кроме бэкдоров

    Одного раза достаточно. Они же как Сони -- пусть хоть под ЖПЛв3+ что-то выпустят, но Сони останется Сони. И Циско -- того же поля ягода.

     
  • 2.11, VolanD, 05:39, 19/11/2014 [^] [ответить] [смотреть все]  
  • +/
    >> циско -- значит штука не может быть хорошей.

    Интересно сколько коммутаторов и маршрутизаторов Cisco прошло это сообщение перед тем как сюда опубликоваться.

     
  • 1.6, anonnnnn, 15:06, 18/11/2014 [ответить] [смотреть все]  
  • +1 +/
    Твоюж мать в Cisco что русские девелоперы появились или это прикол такой:

    OpenSOC-Common/src/main/java/com/opensoc/metrics/MetricReporter.java

    ...
    public void initialize(Map config, Class klas) {
           _Logger.debug("===========Initializing Reporter");
           this._klas = klas;
           if (config.get("topologyname")!=null)
                 _topologyname = (String) config.get("topologyname");
           this.start(config);
    }
    ...

    Class klas - серьезно? :D
    А за несоблюдение конвенции Java по кодстайлу нужно вообще убивать...

     
     
  • 2.7, nonamenonamenoname, 15:12, 18/11/2014 [^] [ответить] [смотреть все]  
  • +5 +/
    Ну попробуй Class class в аргументе метода написать, а потом иди уроки делай.
     
  • 2.8, Portnov, 17:40, 18/11/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Может немцы, например, или какие-нибудь нидерландцы.
     
  • 2.13, Аноним, 02:11, 20/11/2014 [^] [ответить] [смотреть все]  
  • +/
    это не прикол, это просто двоечники. среди массы - доминирующие, ныне.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor