استفاده از بهترین سیستم های تشخیص و جلوگیری از نفوذ بهمراه سیستم های آنالیز امنیتی شبکه، این امکان را فراهم می سازد تا حملات را با جزئیات کامل مشاهده نموده، علت حمله و آسیب پذیری را واکاوی کرده و نسبت به جلوگیری از وقوع مجدد آن اقدامات لازم را انجام داد.

قابلیت رهگیری جرم در شبکه می­بایست به نحوی پیاده سازی گردد، تا امکان شناسایی هرگونه خللی در شبکه، چه از جانب بدافزارها و چه از جانب مهاجمین و حتی کارشناسان واحدهای مختلف سازمان از جمله IT، قابل شناسایی و ردیابی باشد. از این رو استفاده از سامانه­های ثبت اطلاعات و رهگیری جرم امری حیاتی می­باشد.

 

از جمله مواردی که می­بایست در این خصوص در نظر گرفت نحوه طراحی و محل قرار گیری سنسور یا سنسورهای این سامانه می­باشد. سنسورها می­بایست به گونه­ای در شبکه قرارگیرند تا حتی الامکان تمامی ترافیک های درون شبکه را دریافت کند. پس از دریافت داده­های خام درون شبکه، می­بایست این اطلاعات از طریق ابزارهای مورد استفاده در مرکز عملیات امنیت (SOC) قابل دسترس بوده و مورد آنالیز و بررسی قرار گیرد، تا در صورت مشاهده هر گونه رویداد مشکوک، هشدارهای لازم صادر شده و همچنین در مواقع بروز جرم، امکان پیگیری آن مهیا باشد. بدین منظور در طرح پیشنهادی، از سیستمی جهت ثبت ترافیک عبوری لبه شبکه استفاده شده است. همچنین از تجهیزات Tap بمنظور نسخه برداری از ترافیک های شبکه بهره برداری شده است.

از قابلیت های این سیستم  می توان به موارد زیر اشاره نمود:

  • Full Packet Capture: ذخیره، طبقه بندی و ایندکس گذاری کلیه ترافیک ورودی و خروجی شبکه جهت آنالیز دقیق
  • Deep Packet Inspection: دید از پروتکل های مختلف استفاده شده در شبکه نظیر HTTP, DNS و …
  • بازسازی مجدد یک نشست (session) بطور مثال بازسازی یک نشست TCP
  • امکان یکپارچگی با سایر تجهیزات امنیتی (وجود API جهت دریافت PCAP ازطریق پروتکل های HTTP و HTTPS)
  • امکان جستجو بر اساس آدرس مبدا، آدرس مقصد ، پروتکل ، پورت استفاده شده و جزئیات پروتکل های پیاده سازی شده.
  • نمایش نشست ها بر اساس محل جغرافیایی (نقشه جهانی) مطابق شکل ذیل:

 

  • امکان نمایش نشست ها در قالب گراف همانند شکل ذیل: