Riassunto analitico
Il progetto consiste nella realizzazione di un software di estensione per l'IDS Suricata.
Sfruttando la funzionalità di File Extraction di Suricata è possibile intercettare on-the-fly tutti i file che transitano all'interno della rete e costruire in questo modo uno storico dettagliato.
Un nodo "collector" è incaricato di raccogliere tutti i dati provenienti dagli altri nodi della rete.
Periodicamente, un demone presente sul collector esegue uno scan dei file raccolti contattando il servizio Malware Hash Registry di Cymru (sfruttando anche un blacklist ed un whitelist file).
Questo, per ogni file hash md5 raccolto, restituisce una percentuale di attendibilità come file malevolo.
Se durante lo scan vengono evidenziate potenziali minacce, il demone ricostruisce il percorso che i file in questione hanno compiuto all'interno della rete e invia una notifica tramite email all'amministratore di sistema.
Un web server viene reso disponibile sul nodo collector per la navigazione tramite browser al fine di visualizzare i dati contenuti nel database.
Il software è scritto prevalentemente in Python e Shell di Unix.
|
