Nie udawaj Greka! Udział w ekklesia

Ekklesia, czyli zgromadzenie ogólne, była głównym organem demokratycznym w Atenach. Jego zadaniem było podejmowanie ważnych decyzji i uchwalanie praw. Jeżeli obywatel płci męskiej zameldował się w swoim demie (w okolicy), miał prawo uczestniczyć w zebraniach ekklesii. Mogłoby się wydawać, że to uniemożliwiłoby prowadzenie spotkań, ale populacja Ateńczyków w 450 r. p.n.e. liczyła około 250 000. Z tego tylko około 30 000 to kwalifikujący się obywatele płci męskiej (reszta to kobiety, dzieci, niewolnicy i rezydenci obcokrajowcy zwani „metykami”). Z tych 30 000 prawdopodobnie średnio około 5000 uczestniczyło w spotkaniach ekklesia. To dużo, ale wciąż tylko około dwóch procent populacji!

Zaufanie w Cyberspace : Trendy CCBNM

Ponieważ bezpieczeństwo sieci dopiero niedawno stało się głównym problemem technologii sieciowych, ten nowatorski system CCBNM jest proponowany jako nowa i obiecująca platforma monitorowania i wykrywania ataków, która może skutecznie zapobiegać różnym atakom w podatnym na błędy środowisku sieciowym. Wiele tradycyjnych technik, takich jak te omówione wcześniej w tym rozdziale, jest przestarzałych i wiąże się z rosnącymi słabościami i zagrożeniami pod względem bezpieczeństwa sieci. Aby stawić czoła temu rosnącemu problemowi, opracowywanych jest wiele nowych narzędzi do monitorowania i zabezpieczania sieci, które obejmują wszystkie istniejące techniki, takie jak sniffing pakietów, IDS i IPS, w celu stworzenia i obsługi bezpieczniejszego i ujednoliconego środowiska sieciowego. Ponadto dodano również nową technikę wizualizacji bezpieczeństwa danych, aby być o krok do przodu. Wizualizacja bezpieczeństwa danych jest postrzegana jako punkt zwrotny w CCBNM, ponieważ pomaga administratorom sieci w eliminowaniu zagrożeń i anomalii, które w innym przypadku mogłyby zostać pominięte, gdyby używali tradycyjnych technik. Ostatnie badania skupiły się na wykorzystaniu technik wizualizacji, aby pomóc analitykom uzyskać wyobrażenie o zachowaniu sieci. Wizualizacja jest potężna, ponieważ pozwala nam zobaczyć znaczną ilość danych naraz i wykorzystać nasze zdolności przetwarzania poznawczego i prewencyjnego do szybszego znajdowania wzorców niż przesiewanie pakietów lub zapisów przepływu danych. Zadanie monitorowania sieci stało się również wymagającym i czasochłonnym zadaniem ze względu na konieczność współdziałania ruchów i wykrywania zmian otoczenia. Może się to skomplikować, jeśli mamy do czynienia z bardzo dynamicznym ruchem w sieci; jednakże redukcja skomplikowanych danych o ruchu sieciowym do prostych informacji do wizualizacji jest odpowiednią platformą dla administratora sieci . Pomysł ten można poprzeć poniżej, jak widać na rysunkach. Możemy zobaczyć, jak wizualizacja bezpieczeństwa danych może odgrywać ogromną rolę w pomaganiu administratorom sieci w zrozumieniu i współdziałaniu ruchu sieciowego.

Obie liczby pokazują identyczny przepływ sieci, w którym jesteśmy w stanie wykorzystać nasze zdolności przetwarzania poznawczego i preuważnego, aby łatwiej wykryć wszelkie anomalie w zbiorze danych, co pozwala nam odkryć możliwe zagrożenia. Chociaż jest to bardzo nowa dziedzina, wiele narzędzi zawiera już ideę wizualizacji; narzędzia takie jak TNV, InetVis i RUMINT [17,51] można z powodzeniem wykorzystać do modelowania tej techniki. Mamy nadzieję, że w niedalekiej przyszłości wizualizacja będzie mogła być w pełni wykorzystana poprzez pójście o krok dalej i zapewnienie narzędzi umożliwiających wizualizację 3D, a także obsługę protokołu IPV6, który jest powoli wdrażany na całym świecie i pewnego dnia stanie się standardem dezertera .

Wnioski

Bezpieczeństwo sieci to dynamicznie rozwijający się obszar w obszarze teleinformatycznym. Tylko w ciągu ostatnich kilku miesięcy odkryto tysiące nowych zagrożeń i strategii kompromitacji, co pozwala nam wierzyć, że liczba ta będzie nadal rosła w zastraszającym tempie. W tym rozdziale, po szeroko zakrojonym przeglądzie istniejącego mechanizmu monitorowania i wykrywania sieci, proponujemy naszą nowatorską CCBNM, nową strukturę monitorowania, za pomocą której badacz może chronić się przed różnymi zagrożeniami i zagrożeniami, wykorzystując bardziej pouczające treści i komponenty kontekstowe, a także eksplorację danych techniki; CCBNM jest postrzegany jako przyszły trend ram monitorowania i wykrywania bezpieczeństwa sieci i obejmuje tradycyjne skuteczne techniki, takie jak sniffing pakietów, IDS i IPS. Techniki te można rozwijać poprzez integrację nowych komponentów, takich jak pakiet uwzględniający zawartość i kontekst, eksplorację danych i wizualizację, aby zapewnić obiecujące ramy bezpieczeństwa dla sieci o kluczowym znaczeniu w przyszłości.

Nie udawaj Greka! Poruszanie się po ateńskiej demokracji

Wielu starożytnych Ateńczyków prawdopodobnie uważało dobrze rozwinięty system rządów miasta za główny powód, dla którego miasto stało się tak dominujące w świecie greckim i Lidze Deliańskiej do 470 r. p.n.e. Demokracje istnieją dzisiaj na całym świecie, ale bardzo różnią się od demokracji w starożytnych Atenach. Większość krajów opiera się dziś na jakiejś formie demokracji przedstawicielskiej, w której ludzie głosują na kogoś (zwykle z partii politycznej), aby reprezentował ich w parlamencie (lub innym organie zarządzającym) i miejmy nadzieję, że głosuje zgodnie z tym, jak ludzie czują się w danej sprawie. Z kolei starożytna demokracja ateńska była demokracją uczestniczącą. Chociaż system obejmował wybieranych urzędników, rządy sprawowali bezpośrednio ludzie, którzy głosowali we wszystkich głównych kwestiach, takich jak pójście na wojnę, wzniesienie murów wokół miasta lub rozpoczęcie nowych świąt religijnych.

Organizowanie się

Demokracja ateńska działała za pośrednictwem dwóch głównych organów:

* Ekklesia, czyli zgromadzenie ogólne, które było głównym organem otwartym dla wszystkich obywateli płci męskiej w wieku powyżej 18 lat.

* Boule, czyli Rada 500, która miała podkomisję znaną jako prutaneis, która zajmowała się sytuacjami kryzysowymi.

Oprócz tych dwóch najwyższym organem w starożytnych Atenach był Sobór Aereopagus. Był to powrót do dawnych czasów arystokratycznych rządów w Atenach , ale jak wyjaśniam w dalszej części „Spotkanie VIP-ów: Bardzo ważni politycy”, ta grupa miała się zmienić! W kolejnych rozdziałach omówiono te ciała znacznie dokładniej. Akropol i jego świątynie są bardzo znane, a wielu uważa to miejsce za symbol greckiej demokracji. Ale Akropol nie był w rzeczywistości domem ateńskiej polityki – ta znajdowała się w różnych miejscach na agorze. Rysunek pokazuje rzeczywiste obszary polityczne na ateńskim placu publicznym, czyli agorze.

Zaufanie w Cyberspace : Techniki, narzędzia i systemy CCBNM

Eksploracja danych jest jedną z technik stosowanych w ramach CCBNM. Eksploracja danych to proces analizy danych z różnych perspektyw i podsumowania ich w użyteczne informacje. Istnieją narzędzia oprogramowania do eksploracji danych, znane jako narzędzia analityczne, które pomagają analizować dane. Narzędzia te pomagają użytkownikowi analizować dane z różnych wymiarów lub pod różnymi kątami, kategoryzować je i podsumowywać zidentyfikowane relacje. Jest to proces znajdowania korelacji lub wzorców wśród dziesiątek pól w dużych relacyjnych bazach danych. Algorytm eksploracji danych stosowany do wykrywania włamań ma głównie cztery podstawowe wzorce: (1) powiązanie, (2) sekwencja, (3) klasyfikacja i (4) grupowanie. Technologia eksploracji danych może przetwarzać duże ilości danych i nie wymaga subiektywnej oceny użytkownika i jest bardziej prawdopodobne, że odkryje ignorowane i ukryte informacje. Wzorce wykrywania anomalii to algorytmy porównywania wzorców i grupowania . Porównanie wzorców najpierw ustala normalny wzorzec zachowania w ramach reguł asocjacyjnych i reguł sekwencji, a następnie odróżnia się od normalnego zachowania i reguł asocjacyjnych. Analiza sekwencji została zaprojektowana w celu eksploracji powiązań między danymi. Algorytm grupowania obejmuje wykrywanie anomalii bez nadzoru i wykrywa włamania, ucząc nieoznaczonych danych; nie potrzebuje procesu szkolenia, więc może odkrywać nowe i nieznane typy włamań.Audyt bazy danych to kolejna ważna technika związana z CCBNM. Audyt bazy danych polega na obserwowaniu bazy danych, aby być świadomym działań użytkowników bazy danych. Często dzieje się tak ze względów bezpieczeństwa, na przykład, aby zapewnić, że informacje nie będą dostępne dla osób bez pozwolenia. Audyt bazy danych można przeprowadzić wieloma metodami. Pierwsza metoda składa się z pasywnego serwera lub urządzenia, które zagląda do sieci i monitoruje ruch przychodzący i wychodzący z systemu bazy danych. Drugą metodą rejestrowania aktywności bazy danych w oparciu o sieć jest umieszczenie urządzeń bezpośrednio w linii sieci, tak aby wszystkie przychodzące i wychodzące pakiety były przechwytywane i przekazywane przez urządzenie. Trzecią metodą jest monitorowanie oparte na agentach, w którym dzienniki są wyodrębniane bezpośrednio z bazy danych. Czwarta metoda logowania i monitorowania to metoda zintegrowana z systemem, która wykorzystuje metody monitorowania dostarczane przez bazy danych Oracle, SQL i inne. Na potrzeby naszego zadania symulacyjnego będziemy używać wbudowanej bazy danych w naszym narzędziu do monitorowania sieci, aby przechwytywać pakiety; informacje w bazie danych zostaną poddane audytowi. Inżynieria odwrotna protokołów to proces wyodrębniania specyfikacji protokołów na poziomie aplikacji. Przydatna jest szczegółowa znajomość takich specyfikacji protokołów do rozwiązywania wielu problemów związanych z bezpieczeństwem. Ma to zasadnicze znaczenie dla analizy protokołu. Nasz schemat CCBNM podsumowano na rysunku

Nie udawaj Greka! Przejmując wszystko: Ateny z kontrolą

Ateńczycy skutecznie przypieczętowali umowę w 454 r. p.n.e, ustanawiając się jako przywódcy imperium. W tym samym roku Ateńczycy przenieśli skarbiec ligi z wyspy Delos do Akropolu w Atenach. Przywództwo w Atenach nie tylko trzymało się pieniędzy, ale także nalegało, aby każdego roku pobierać procent jako hołd dla bogini Ateny (bóstwa patronki Aten), pod opieką której pieniądze teraz spoczywały. Ta zmiana była wyraźnym znakiem, że Ateny uważały się teraz za głowę imperium, a nie za krzesło ligi. W dalszej części przyjrzymy się, w jaki sposób Ateny zdołały osiągnąć swoją dominującą pozycję

Zaufanie w Cyberspace : Monitorowanie sieci w oparciu o kontekst

Kontekst to wszelkie informacje, które można wykorzystać do scharakteryzowania sytuacji podmiotu . Na przykład, jeśli chodzi o ustalanie priorytetów danych w sieci, dane od pierwszego reagującego mogą być bardziej krytyczne niż od ochotnika. Przykładami parametrów kontekstu są lokalizacja aktywności nadawcy, stan sieci, bliskość innych członków zespołu i poziom naładowania baterii. Dane kontekstowe generalnie pochodzą ze zbierania na poziomie pakietów szczegółów ruchu sieciowego związanego ze zdarzeniami. Narzędzia do analizy sieci, takie jak tcpdump, koncentrują się na wydobywaniu tych ważnych, szczegółowych informacji z pojedynczych pakietów, ale w takich narzędziach brakuje mechanizmu zapewniającego jednoczesny widok danych w „dużym obrazie”. Jeśli analitycy chcą zrozumieć szczegóły pakietów w szerszym kontekście otaczającym monitorowanie sieci, muszą nieustannie zwracać uwagę na nowe i innowacyjne pomysły. Takie narzędzia doskonale sprawdzają się w filtrowaniu i wyszukiwaniu szczegółów, pod warunkiem, że analitycy dokładnie wiedzą, czego szukają w danych. W IDS sygnatury są używane do wykrywania ataków; podpisy mogą być implementowane przy użyciu kontekstu. Podpisy kontekstowe sprawdzają tylko nagłówek pakietu w poszukiwaniu informacji podczas szukania dopasowania. Informacje te mogą obejmować pola adresu IP, pole protokołu IP, opcje IP, parametry fragmentów IP, sumy kontrolne IP / TCP / UDP, numery portów IP i TCP, flagi TCP, typy komunikatów ICMP i inne. Kontekst można definiować na wiele sposobów, z których jeden może odnosić się do lokalizacji, osoby w pobliżu, wielu obiektów, a także ich zmian zachodzących w czasie. Ludzie, orientacja i przedmioty, data i czas otoczenia użytkownika (lub można powiedzieć, że czas i przestrzeń oraz ich relacje itp.) Mogą być postrzegane jako aspekty kontekstu. Badanie pokazuje, że możemy podzielić kontekst na trzy części. Pierwsza część to kontekst obliczeniowy, który koncentruje się na dostępnych procesorach, urządzeniach dostępnych do wprowadzania i wyświetlania przez użytkownika, pobliskich zasobach, takich jak drukarki, stacje robocze, pojemność sieci, łączność, koszty przetwarzania i komunikacji oraz przepustowość. Druga część to kontekst użytkownika, który koncentruje się na lokalizacji, gromadzeniu pobliskich osób, profilach użytkowników i sytuacji społecznej. Trzecia część to kontekst fizyczny, czyli oświetlenie, temperatura, hałas, poziom wilgotności i warunki drogowe. Monitorowanie sieci oparte na kontekście zapewnia wiele korzyści, takich jak przekazywanie parametrów kontekstu na wszystkich warstwach i między węzłami. Obciążenie jest rozłożone na całą sieć, aby uzyskać równoważenie obciążenia i wydłużony okres eksploatacji sieci. Modele uwzględniające kontekst mogą być wykorzystane do wykorzystania pełnego potencjału bezprzewodowej sieci sensorowej poprzez włączenie uruchomionych aplikacji w decyzje niższych warstw i dając im możliwość kontrolowania zachowania sieci]. W sieciach kontekstowych nowe aplikacje mogą składać się z istniejących aplikacji sieciowych. Rysunek przedstawia przepływ informacji kontekstowych w systemie.

  

Najpierw nadawca wysyła pakiety danych i informacje kontekstowe do odbiorcy. Następnie węzły pośrednie wykrywają zatory. W celu złagodzenia początkowego zatoru stosuje się scentralizowane unikanie zatorów typu hop-by-hop. Odbiorca określa krytyczny poziom pakietu na podstawie informacji o kontekście nadawcy. Poziom krytyczny i informacja zwrotna o szybkości sieci są przekazywane do nadawcy. Następnie nadawca określa szybkość wysyłania i dołącza poziom krytyczny do pakietów wychodzących. Gdy wszystko zostanie ukończone, węzły pośrednie ustalają priorytety pakietów .

Nie udawaj Greka! Przekształcenie ligi w imperium

Mniej więcej w czasie, gdy Perykles zyskał na znaczeniu w Atenach, charakter Ligi Deliańskiej zmienił się na zawsze. Kluczowe wydarzenie miało miejsce na małej wyspie Naxos w 470 r. p.n.e. Pomimo ciągłej groźby perskich ataków, Naxos zdecydowała, że chce wycofać się z ligi. Ateńczycy odpowiedzieli, wysyłając flotę, by zaatakowała wyspę, a następnie zniszczyła mury jej głównego miasta. Ateńczycy zmusili również Naxos do dalszego płacenia podatków – tylko tym razem Naxos musiało płacić bezpośrednio, aby wesprzeć utrzymanie floty ateńskiej. Liga coraz bardziej funkcjonowała bardziej jak imperium (z Atenami jako egzekutorem), a nie organizacja wzajemnie się wspierająca. W porównaniu z Ateńczykami Persowie nie stanowili tak naprawdę dużego zagrożenia dla mieszkańców Naxos! (Podobny kawałek zastraszania politycznego i militarnego przydarzył się wyspie Thasos w 463 r. p.n.e.)

Zaufanie w Cyberspace : Monitorowanie sieci w oparciu o zawartość

Istnieje znacząca klasa aplikacji, które pojawiają się codziennie, takie jak udostępnianie informacji, aukcje internetowe i gry multimedialne. Aplikacje te charakteryzują się dużą i dynamicznie zmieniającą się liczbą autonomicznych klientów zaangażowanych w komunikację wielostronną, szeroką dystrybucją geograficzną, dynamicznymi, nieprzewidywalnymi wzorcami interakcji i wysokim współczynnikiem ruchu komunikatów. Doprowadziło to do opracowania nowego rodzaju zaawansowanej infrastruktury komunikacyjnej do obsługi aplikacji tej klasy, zwanych monitorowaniem sieci opartym na zawartości. Sieć oparta na treści to sieć komunikacyjna oparta na nowatorskim modelu usług bezpołączeniowych

Powyższy rysunek pokazuje, że monitorowanie sieci w oparciu o zawartość obejmuje monitorowanie wszystkich pakietów wchodzących i wychodzących z sieci. Śledzi również i przywraca protokoły. W celu monitorowania użytkowników wewnętrznych i śledzenia stanu sieci funkcja systemu obejmuje głównie sześć modułów. Transmisja pakietów IP ma miejsce, gdy hosty wewnętrzne próbują uzyskać dostęp do zewnętrznych zasobów sieciowych; najpierw muszą wysłać żądanie danych do bramy filtru zawartości. Brama zdecyduje wtedy, czy przesłać te dane, czy nie. Filtrowanie treści w czasie rzeczywistym jest podstawowym modułem i może sprawdzać całą zawartość danych w bramie i poza nią. Sprawdzanie treści wiadomości e-mail to kolejny moduł, który koncentruje się na wiadomościach e-mail wysyłanych do użytkowników sieci wewnętrznej za pośrednictwem protokołu SMTP. E-maile będą przekierowywane do serwera filtrującego e-maile przez bramę, a serwer filtrujący e-maile będzie sprawdzał osobno tytuł, teksty i załączniki. BBS oznacza system tablic ogłoszeń i jest modułem, który może rejestrować wszystkie operacje, gdy użytkownik loguje się, przegląda dane i przesyła dane. Moduł śledzenia HTTP może przechowywać wszystkie strony internetowe przeglądane przez użytkowników na dysku twardym. Umożliwia to administratorowi śledzenie, które informacje zostały wprowadzone przez użytkownika i które witryny sieci Web odwiedził. Może również wyodrębnić tajną treść z informacji przesłanych przez użytkownika. Moduł śledzenia FTP to brama filtrująca zawartość, która może rejestrować wszystkie operacje FTP użytkownika, w tym nazwę użytkownika logowania, hasło, nazwę pliku i zawartość pliku.

Klienci deklarują swoje cechy sieci za pomocą predykatów; jest to po prostu profil opisujący interesy klienta. Określona wiadomość jest dostarczana do określonego klienta, jeśli predykat klienta zastosowany do zawartości informacyjnej wiadomości jest prawdziwy. Jest to predykat, który określa, które komunikaty będą przepływać do klienta przez sieć i stanowi podstawę funkcji routingu i przesyłania dalej. Dlatego sieć oparta na treści jest nowym paradygmatem sieci, który przeszedł od tradycyjnej konfiguracji adresu docelowego (tj. Zorientowanej na adres) do większej identyfikowalności interesów docelowych odbiorców, co ma bardziej pouczające znaczenie dla aplikacji. Przykładem routingu opartego na treści może być mechanizm używany w klastrach serwerów WWW do mapowania żądań HTTP do poszczególnych serwerów w klastrze. Nazywamy ten mechanizm routingiem opartym na treści, ponieważ każde żądanie HTTP jest kierowane przez jakąś bramę (np. Serwer główny, program planujący lub przełącznik) do określonego serwera na podstawie treści żądania. Analiza treści jest bardzo ważna w monitorowaniu sieci, ponieważ umożliwia pomyślne działanie sieci poprzez odbieranie i wysyłanie informacji. Wszystkie pakiety IP zawierają zawartość, taką jak wersja, typ usługi, całkowita długość, identyfikacja, flagi, przesunięcie fragmentów, czas wygaśnięcia, protokół, suma kontrolna nagłówka, źródłowy adres IP, docelowy adres IP, opcje i informacje uzupełniające. Informacje te są niezbędne, aby komunikacja była monitorowana w sposób informacyjny i uważny, zgodnie z zawartością pakietów, które są prawidłowo wysyłane i odbierane. IDS są oparte na sygnaturach; jest to reguła, która sprawdza pakiet lub serię pakietów pod kątem określonej „zawartości”, takiej jak dopasowania w nagłówku pakietu lub informacje o ładunku danych. Podpisy są opracowywane z zawartością w celu sprawdzenia zawartości pakietu pod kątem dopasowania; wymaga to zajrzenia do zawartości pakietu, a także do nagłówków pakietów. Istnieje kilka korzyści z monitorowania sieci w oparciu o zawartość; kontrola przeciążenia uwzględniająca zawartość może pomóc pakietom zminimalizować wpływ zniekształceń i opóźnić terminy pakietów w celu uzyskania lepszej przepustowości w sieci [29]. Ze względu na podobieństwa między predykatami, jeśli do sieci zostanie dodany nowy klient, którego predykat jest podobny do innego predykatu, nie ma potrzeby ogłaszania nowego predykatu, ponieważ już istnieje. Jeśli chodzi o korzyści związane z routingiem w monitorowaniu sieci opartym na zawartości, istniejące protokoły są wykorzystywane do wykrywania i utrzymywania podstawowych informacji o topologii sieci (np. Protokoły wektora odległości i stanu łącza). Decyzje dotyczące routingu są destylowane w tabelach przekazywania znajdujących się w każdym routerze opartym na treści. W tradycyjnych sieciach podstawowa sieć oparta na zawartości jest usługą wymagającą najwyższych nakładów.

Nie udawaj Greka! Prześladowanie Persów

W następnej dekadzie Kimon poszedł jeszcze dalej. Zabrał walkę do Azji Mniejszej i poza nią. W 459 r. p.n.e. Egipcjanie zbuntowali się przeciwko perskim rządom, a Kimon zabrał 200 statków z Ligi Deliańskiej do Delty Nilu. Liga Deliańska pozostała w regionie przez pięć lat, wspierając próbę buntu Egipcjan. To, co zaczęło się jako środek ochrony Grecji kontynentalnej przed Persją, przekształciło się w coś zupełnie innego. Siły militarne i morskie, które zostały zgromadzone, by chronić Grecję przed atakiem z zewnątrz, działały teraz jako rodzaj międzynarodowego policjanta w zagranicznych wojnach i angażowały się w niesprowokowane ataki na terytorium perskie. Nic z tego nie było defensywne, a największymi beneficjentami byli Ateńczycy. Przybycie nowego przywódcy do Aten posunęło sprawę jeszcze dalej.

Zaufanie w Cyberspace : Podstawy monitorowania sieci

Zarządzanie i kontrola medium komunikacyjnego pomiędzy szeroko rozpowszechnionymi sieciami komputerowymi może być przebiegłym, czasochłonnym i bardzo trudnym zadaniem. Wielu badaczy wdrożyło strategie i narzędzia pomagające w zabezpieczaniu przepływu informacji przed bezprawnym przechwytywaniem danych pakietów sieciowych. Ponieważ ochrona sieci przed atakami z zewnątrz jest tak istotnym aspektem bezpieczeństwa sieci, zrozumienie przepływu i zawartości ruchu jest równie ważne. Aby to osiągnąć, naukowcy w pełni wykorzystują narzędzia, które umożliwiają im zarządzanie pakietami komunikacyjnymi i ich wizualizację. Sniffery pakietów lub analizatory protokołów sieciowych to programy, które działają na urządzeniu sieciowym i mogą monitorować ruch przez nie. Program ustawia kartę interfejsu sieciowego (NIC) podłączonego urządzenia do pracy w trybie odłączonym, umożliwiając temu urządzeniu pasywne odbieranie wszystkich ramek warstwy łącza danych przechodzących przez jego kartę sieciową. Oprogramowanie przechwytuje następnie dane, które są adresowane do innych maszyn obecnych w sieci, a następnie zapisuje je do późniejszej analizy ruchu . Rysunek pokazuje, w jaki sposób informacje przepływają z karty sieciowej do programu przechwytującego pakiety i odwrotnie.

Rysunek przedstawia proces związany z cyklem podsłuchiwania pakietów i widzimy, że wewnątrz przestrzeni jądra pakiety mogą być filtrowane według szeregu informacji kontekstowych. Dlatego umożliwiają użytkownikom łatwe poruszanie się po przechwyconych pakietach, potencjalnie umożliwiając szybsze i skuteczniejsze wykrywanie anomalii i potencjalnych zagrożeń. Niektóre przykłady programów przechwytujących pakiety, które są łatwe w użyciu i łatwe do pobrania to Wireshark , Netpy i Nagious . Porównanie tych systemów zostanie podane później. Chociaż sniffery pakietów są postrzegane jako świetne podejście do wykorzystania przez badaczy w celu zrozumienia treści i kontekstu informacji przepływających w sieci, proces wymagany do znalezienia wszelkich możliwych anomalii lub zagrożeń może być bardzo skomplikowanym i czasochłonnym zadaniem . Sniffery pakietów działają w czasie rzeczywistym; w związku z tym sam program wykonuje swoje funkcje jednocześnie, gdy napływają do niego pakiety. Oznacza to, że wszystkie pakiety są zapisywane, gdy tylko zostaną odebrane z karty sieciowej. Musielibyśmy wtedy ręcznie wrócić i przejrzeć wszystkie zapisane informacje. Możliwym rozwiązaniem jest zastosowanie technik eksploracji danych w celu skorelowania informacji, aby spróbować znaleźć ewentualne zagrożenia lub anomalie  Cały ten proces jest znany jako kryminalistyka sieci  i wymaga dużej ilości czasu, rzetelnej wiedzy na temat normalnego zachowania sieci, a także standardów protokołów używanych w sieci. Aby przezwyciężyć ten skomplikowany i czasochłonny problem, do sieci można dodać inne urządzenia i programy jako kolejną warstwę zabezpieczeń. Systemy wykrywania włamań (IDS) i systemy zapobiegania włamaniom (IPS) to zarówno dedykowane urządzenia, jak i aplikacje, które są w pełni zautomatyzowane i działają w sieci. Odróżniamy jedne od drugich, ponieważ IDS rozpoznaje wszelkie anomalie lub zagrożenia obecne w ruchu sieciowym i wyświetla komunikat do centrum sterowania oraz administratora sieci, który następnie może zezwolić na ruch lub zablokować go według własnego uznania. Jeśli zostanie zablokowany, informacje o pakiecie tego potencjalnie niebezpiecznego zagrożenia zostaną dodane do czarnej listy i zostaną ponownie zablokowane przy próbie dostępu do sieci . IPS działają trochę inaczej; mają już predefiniowaną czarną listę, która ma w pełni zautomatyzowaną procedurę aktualizacji, dzięki czemu czarna lista jest na bieżąco z informacjami o najnowszych zagrożeniach. Chociaż systemy IPS są w pełni zautomatyzowane i wydają się mniej stresującą opcją w użyciu, producenci urządzeń mogą potrzebować godzin, a może nawet dni, aby opublikować poprawki dla tych urządzeń, co potencjalnie pozwala zarówno złośliwemu oprogramowaniu, jak i zagrożeniom bezpośrednio w jednej sieci. Z drugiej strony IDS może działać na wiele różnych sposobów; można je skonfigurować tak, aby używały wykrywania opartego na sygnaturach lub wykrywania opartego na zachowaniu, a nawet obu, jeśli jest to konieczne. Wykrywanie oparte na sygnaturach to technika wykrywania znanych zagrożeń lub ataków poprzez skanowanie zawartości informacji pakietu pod kątem określonego ciągu; stringi zostały już predefiniowane i przechowywane w bazie danych, która jest następnie używana jako predefiniowana czarna lista i blokuje ruch [29]. Z drugiej strony, wykrywanie oparte na zachowaniu jest techniką, która wykorzystuje predefiniowany algorytm, który jest ustawiany przez administratorów sieci i definiuje normalne zachowanie ich sieci, gdy tylko pojawi się nieprawidłowe zachowanie w sieci, na przykład gwałtowny wzrost ruchu lub ruchu przeznaczonego dla dużej liczby hostów, generowany jest alert, który umożliwia administratorowi sieci podjęcie działania. Chociaż zarówno IPS, jak i IDS wydają się świetną dodatkową warstwą bezpieczeństwa, którą można dodać do jednej sieci, obie mogą potencjalnie stanowić ogromny problem. W dzisiejszym dużym natężeniu ruchu danych przepływ danych jest oceniany za pośrednictwem sieci, ponieważ jest postrzegany jako współczesny środek komunikacji. Ponieważ każdy pakiet musi przejść przez IDS lub IPS, może potencjalnie stać się wąskim gardłem w czyjejś sieci. Jest to nie tylko problem, ale systemy IDS i IPS generują bardzo dużą liczbę fałszywych alarmów, co sprawia, że ​​zadanie ręcznej analizy tych alertów jest niezwykle trudne i nieefektywne. W historii omówione powyżej techniki monitorowania sieci odniosły znaczący sukces w zapobieganiu przedostawaniu się zagrożeń i ataków do sieci w przeszłości. Podczas gdy w dzisiejszej erze nowoczesnej komunikacji nowe pojawiające się ataki i zagrożenia stają się inteligentniejsze i unikają środków zaradczych w celu ucieczki od tradycyjnych sposobów monitorowania, wywołując ogromny niepokój. Nowe techniki ataków, takie jak skanowanie portów, odmowa usługi (DoS) i ataki złośliwego oprogramowania, to jedne z najczęstszych zagrożeń w obecnym środowisku sieciowym. Wszystko to można łatwo wykryć i potencjalnie zatrzymać, wdrażając techniki monitorowania sieci, takie jak podsłuchiwanie pakietów, IDS lub IPS.

Atakujący sieci rozpoczynają swoje ataki na sieć głównie od wykonania skanowania portów w celu znalezienia drogi do sieci lub skrótu do hosta / urządzenia obecnego w sieci. Atakujący używają szeregu technik skanowania portów, aby to osiągnąć, takich jak skanowanie SYN, znane jako skanowanie półotwarte, w którym atakujący nie wykonuje pełnego połączenia protokołu kontroli transmisji (TCP), ale sprawdza otwarte porty, wysyłając pakiety SYN i sprawdzając odpowiedzi (SYN-ACK = otwarte porty; RST = zamknięte porty). Skanowanie połączenia, w którym atakujący próbuje nawiązać pełne połączenie z każdym portem, wysyłając system wywołań connect, potencjalnie ponownie w celu znalezienia otwartych portów; Skan FIN, ta technika ustawia flagę FIN wewnątrz nagłówka TCP pakietu, aby móc ominąć niektóre zapory ogniowe, które nie blokują pakietów FIN, i sprawdzić, czy port jest otwarty. (Jeśli zostanie zamknięty, zostanie zwrócony RST. W przeciwnym razie zignoruje FIN.) Skanowanie ACK jest podstawową techniką używaną do rozróżnienia, czy port jest zamknięty, czy filtrowany przez firewall. Prawidłowo używane skanowanie portów może stanowić elementy składowe większych ataków, które mogą spowodować poważne szkody w środowisku sieciowym. Ponadto atak DoS jest popularnym atakiem pośród najczęstszych ataków sieciowych poprzedzających skanowanie portów. Są jednym z najstarszych typów ataków wykorzystywanych przez hakerów, ale obecnie nadal są bardzo szkodliwe, jeśli zostaną pomyślnie zakończone [36]. Działa poprzez penetrację hosta w sieci o dużym natężeniu ruchu, powodując przeciążenie i awarię hosta. Powoduje również awarię i potencjalnie sprawia, że ​​ważne zasoby są niedostępne dla zamierzonych użytkowników. Jak wszyscy administratorzy sieci wiedzą, że czas pracy jest niezbędny do funkcjonowania skutecznego i solidnego środowiska sieciowego, awaria hosta lub potencjalnie serwera to przerażająca myśl.