Выполняют ли они анализ нападения или наблюдают(соблюдают) движение сети для больших корпораций, дело профессионалов безопасности с большим количеством данных. Обвиненный в защите электронных драгоценностей короны, задача сортировки через горы зарегистрированной информации может казаться укрощением время от времени, но помощь, кажется, находится на горизонте.

Новые технологии, демонстрируемые на конференции Брифингов Черной шапочки в Лас Вегасе, могут разобрать большие и сложные регистрации(бревна) или картотеки данных и произвести визуальную информацию, основанную на тех регистрациях(бревнах) или данных, которые могут быть в состоянии помочь профессионалам безопасности находить иглу пословиц в стоге сена.

[Formore на событиях и открытиях на 2008 конференциях безопасности Черной шапочки и Обороноспособности, проверьте специальное сообщение Инфоуорлда.]

Движение сети может быть общеизвестно трудным разобрать, и как размер увеличений сети, явный объем(том) данных, которые должны быть оценены, может быть просто слишком много для человеческого мнения, чтобы обращаться. К тому концу, широкий диапазон продуктов - с систем предотвращения обнаружения и вторжения вторжения на брандмауэры, которые в режиме реального времени отвечают на нападения опровержения-обслуживания - служит потребностям рабочих IT, ответственных чтобы поддержать(обслужить) безопасность компаний, правительств, или других организаций.

Однако, никогда не было хорошего пути для людей, которые управляют этими технологиями, чтобы отстраниться и видеть проблему от 30 000 футов. Это может изменяться.

"Галактическое" представление(вид) интернет-движения
Одним примером появляющихся инструментов визуализации безопасности в Черной шапочке был ScoutVision Зеркала, который предлагает представление(вид) фактически всего Интернета. Самое-широко-угловое представление(вид) программы на основе вспышки похожо на галактику, с каждой из этих 65 000 "звезд", двигущихся по кругу галактический центр, представляющий куски IP адресного пространства(диапазона адресов), названного(вызванного) "автономные системы" - по существу IP диапазоны всего ISPs, как сообщено ISPs, непосредственно используя протокол ПОГРАНИЧНОГО МЕЖСЕТЕВОГО ПРОТОКОЛА.

Учитывая пару узлов, система может показать все возможные дорожки направления для данных, что шаги от одного узла до другого, давая администраторам сети быстрое визуальное представление, например, критические пункты(точки) дроссельной катушки(воздушной заслонки) инфраструктуры, которые, возможно, нуждаются в дополнительной защите.

Пользователи ScoutVision, настроенные(установленные) списки часов автономных систем, которые они хотят контролировать, и программа, могут привести в готовность их, если это обнаруживает аномальное движение, типа массивных количеств движения SMTP, произведенного spambot. Если система обнаруживает IP диапазон, на котором могли бы быть botnet машины(механизмы), это выдвигает на первый план ту автономную систему и обеспечивает дополнительные данные о тревоге, включая информацию о точном IP адресе, который вызвал тревогу.

Равноправный информационный обмен в ваших бинарных файлах
Также в Черной шапочке, два эксперта безопасности от Западного Пункта(Точки) - исследуют программиста Эрика Дина, и доцент Грэг Конти - демонстрировал два инструмента, которые они создали, это быстро отдает содержание файлов двоичных данных в пикселы в перезначительной области(поле). Инструменты, названные VisBin и DanglyBytes, берут двоичных данных от любого файла, управляют данными математически, и отдают те данные как графическое изображение(образ).

На мелком масштабе, Вы можете смотреть на эти виды файлов в редакторе ведьмы, Конти говорит, но, "создавая графические показы, Вы можете показать в 900 раз больше информации в том же самом количестве места(космоса) экрана."

Даже при том, что изображения(образы) могут быть похожи на статическое телевидение, Конти говорит с опытом и практикой, исследователи могут быть в состоянии различить определенные виды структур в пределах бинарных файлов, тщательно исследуя повторившиеся образцы, которые появляются в визуализации. С представлением(видом) высокого уровня, исследователь может идентифицировать(опознать) области(регионы) файла, где интересная информация может быть расположена и бурить землю к тому местоположению.

Хотя программа DanglyBytes находится все еще в очень ранней бета стадии(сцене), все еще в состоянии отдать множество различных(других) видов изображений(образов), обеспечивая удивительное количество информации. На его демонстрации, Конти рассматривал через созданный Windows свалки памяти, когда его копия Mozilla Firefox браузер потерпела крах. Похоронены в пределах свалки памяти были копиями графики, которая была загружена в браузере, когда это потерпело крах, включая Google и эмблемы Wikipedia. "Каждый раз я сделал визуализацию, я был удивлен результатом," говорит Конти. "Я нашел вещи, которые я не мог ожидать."

Источник:

IT новости, 8 August, 2008