Que es SnortViz?

Es un proyecto en el que estoy trabajando en el cual se visualizan alertas del IDS Snort. Hace tiempo que estoy investigando técnicas de Visualización de la Información.

Hoy en dia nos encontramos con grandes volúmenes de datos los cuales poseen valiosa información que nos estamos perdiendo a no poder filtrarla rápida y de manera ágil.

Por eso las técnicas de Visualización nos permiten representar una enorme cantidad de información de tal manera que el cerebro humano reconozca patrones que se destaquen del resto.

En este caso les voy a presentar un gráfico que realice con el software AfterGlow, el cual permite generar gráficos de nodos, conocidos como grafos o constelaciones. Para lo cual genere un par de scripts que minan la base de datos de IDS Snort buscando las ip origenes de los atacantes, luego parseando la salida busque los paises y los sistemas de autonomos asociados.

Los sistemas autonomos nos indican de que ISP (proveedor de internet) viene.

En el diagrama se representa los ataques detectados de 3 paises, los cuales representan un 80% del total, durante el mes de Agosto del 2008:

  • USA [US] (43%)
  • Argentina [AR] (38%)
  • China [CN] (10%)

Se muestra la relacion:

  • Pais (circulo gris) -> Sistemas Autonomos (cuadrado celeste) -> Direcciones IP Origen del Atacante (gama de colores).

Los colores de las IP estan dados por la cantidad de ataques que detallo a continuación:

  • 1 a 5: PaleGreen
  • 6 a 10: LawnGreen
  • 11 a 20: LimeGreen
  • 21 a 50: Orange
  • 1 a 100: OrangeRed
  • 101 o mas: Red

Se pueden desprender algunos patrones rapidamente:

  • Desde USA la mayoria de los ataques fueron efectuados desde del AS 36408, que corresponde al ISP: Panther Express
  • Desde Argentina el AS 16814 fue el que mas ataques genero, pertenece a IPLAN -NSS-, mi proveedor de Internet, seguramente máquinas “vecinas” con worms que buscan las clases y redes vecinas (mas proximas).
  • Desde China vemos pocos ASN, se nota que esta muy sectorizado, imagino que debido al rigido control que se realiza de Internet desde el gobierno chino. Habra pocos proveedores de Internet?

Los dejo con esto, mas adelante voy a agregar mas informacion y alguna explicacion mayor de como genere los graficos.

Pueden ver un poco mas en: SnortViz

Gráfico: (pueden ver el gráfico en el tamaño original AQUI)

Leave a Reply