Arbor : Network Anomali Detection System
Peakflow SP adalah network wide anomaly detection system.
Tiga tipe anomali yang dideteksi olh peakflow:
1. Profiled anomalies
- Deviasi dari normal trafik
- Membuat patokan trafik yg normal à baselines
- Baseline didapat dari netflow (informasi layer 1-4), BGP (info routing), dan SNMP (info ttg available dari router, cth: info interface)
- Terdapat batas toleransi : expected maximum (nilai maks), hold down time.
- Jika ada trafik yg melebihi batas expected max dan hold down time, maka akan dimasukkan ke dalam 3 kelas:
a. High level
b. Medum level
c. Low level
2. Misuse anomalies
- Memonitor lebih spesifik, host yang melebihi trafik normal yang biasa
- Biasanya dari host /32
- Misalnya : ICMP anomaly, TCP NULL flag anomaly, IP NULL anomaly.
3. Fingerprint anomalies
- Trafik yang cocok dengan salah satu user signature
- Jika terdeteksi fingerprint, maka bisa melakukan fingerprint sharing dengan provider lain yang menggunakan ARBOR.
No comments:
Post a Comment