Japanners visualiseren ict-dreigingen realtime in drie dimensies
Een Japanse organisatie heeft een systeem ontwikkeld om dataverkeer binnen organisaties in realtime te visualiseren. Zo kunnen dreigingen worden opgespoord. Het systeem, Daedalus, wordt gratis aangeboden aan onderwijsinstellingen.
Het NICT presenteerde het Daedalus-systeem op een beurs in Tokio, blijkt uit een videoreportage van DigInfo. Het systeem is in staat om in realtime verkeer van verschillende netwerken in kaart te brengen en in drie dimensies te visualiseren. Zo zouden netwerkbeheerders kunnen zien waar zich in het netwerk vreemde activiteiten voordoen.
In de video toont de directeur van het NICT bijvoorbeeld hoe een waarschuwing getoond wordt als vanaf een ip-adres pakketten worden verstuurd naar een niet-gebruikt ip-adres; een teken dat een virus zichzelf probeert te verspreiden.
Daedalus, een verwijzing naar een mythische figuur, is ook in staat om gebruikers te waarschuwen als hun pc wordt misbruikt voor het verspreiden van virussen. Ook kunnen er in dat geval automatisch meldingen naar de ict-afdeling worden gestuurd. Het ligt voor de hand dat die gebruikers daarvoor een client moeten installeren.
Het NICT gebruikt het systeem momenteel voor het monitoren van 190.000 ip-adressen in Japan. Educatieve instellingen kunnen het pakket gratis gebruiken; het Japanse bedrijf Clwit gaat het commercieel aanbieden. Of er al een niet-Japanstalige variant ontwikkeld is, is onbekend.
Reacties (62)
Deed me direct denken aan Ghost in the Shell 
Wel een leuke manier om het te visualiseren.
Wel een leuke manier om het te visualiseren.
Doet mij denken aan de WWW boeken van Robert J Sawyer. Waar het Websight heet.
Die jappen kijken teveel TV inderdaad 
http://www.youtube.com/watch?v=AdwOFKl7D8A
http://www.youtube.com/watch?v=wRSYYPhqaKg
Nu nog een 3D interface om met je hand firewall's te tekenen!
Ik vindt het echt wel een mooi systeem. Des te meer complexe informatie op een simpele manier kan worden getoond des te beter natuurlijk.
http://www.youtube.com/watch?v=AdwOFKl7D8A
http://www.youtube.com/watch?v=wRSYYPhqaKg
Nu nog een 3D interface om met je hand firewall's te tekenen!
Ik vindt het echt wel een mooi systeem. Des te meer complexe informatie op een simpele manier kan worden getoond des te beter natuurlijk.
[Reactie gewijzigd door dycell op 20 juni 2012 15:23]
Des te minder, des te beter, zou ik zeggen. Aanvallen opsporen is één ding, privacy schenden is iets anders. Genoeg aan dit systeem waar ik de kriebels van krijg.
Behalve het renderen van al dat verkeer, ziet er grafisch goed uit.
Behalve het renderen van al dat verkeer, ziet er grafisch goed uit.
Ik zie het privacy probleem niet echt in verband met deze techniek. Dit is gewoon een weergave, van het soort verkeer, op welke poort, en van welk ip. Bepaalde verbindingen en protocollen zullen als vreemd aangemerkt worden. (Daardoor op de hoeveelheid alerts).
Dit is niet te vergelijken met invasieve technieken, zoals DPI, Netwerk tappen etc. Juist hierdoor zou je makkelijk een verbinding kunnen zien die niet helemaal netjes is. (Trojan style)
Dit is niet te vergelijken met invasieve technieken, zoals DPI, Netwerk tappen etc. Juist hierdoor zou je makkelijk een verbinding kunnen zien die niet helemaal netjes is. (Trojan style)
Nouja, puur technisch gezien is dit wel degelijk DPI : poort nummers zijn velden in de tcp of udp headers, terwijl een isp of netwerkbeheerder zich eigenlijk enkel met de buitenste (ip) envelop hoort bezig te houden.
Dit systeem is niks anders dan een visualisatie van wat IDSen detecteren.
een Intrustion Detection System doet wel aan een soort van DPI, maar het is absoluut niet inzetbaar om op wat voor manier dan ook privacy te schenden, tenzij je PC vol virussen staat die alerts genereren op zo'n IDS
Vind het een beetje jammer dat mensen zo snel roepen dat het privacy schendt.
JA het is goed om in de gaten te houden dat systemen niet misbruikt worden om dit te faciliteren,
NEE dat betekent niet dat we als een soort nieuwe kerk alle technologie moeten gaan verbieden die als in de vreemdste bochten word gewrikt MISSCHIEN wel OOIT eens privacy zou KUNNEN GAAN schenden, want dan houden we alleen maar technologische vooruitgang tegen.
een Intrustion Detection System doet wel aan een soort van DPI, maar het is absoluut niet inzetbaar om op wat voor manier dan ook privacy te schenden, tenzij je PC vol virussen staat die alerts genereren op zo'n IDS
Vind het een beetje jammer dat mensen zo snel roepen dat het privacy schendt.
JA het is goed om in de gaten te houden dat systemen niet misbruikt worden om dit te faciliteren,
NEE dat betekent niet dat we als een soort nieuwe kerk alle technologie moeten gaan verbieden die als in de vreemdste bochten word gewrikt MISSCHIEN wel OOIT eens privacy zou KUNNEN GAAN schenden, want dan houden we alleen maar technologische vooruitgang tegen.
Dit lijkt inderdaad op Ghost in the Shell!
Maar hoe praktisch is dit? Er werd alleen een voorbeeld gegeven waarbij er pakketten werden gestuurd naar niet gebruikte IP adressen, wat zou betekenen dat er malware is wat zich aan het verspreiden is. Maar wat kan het nog meer dan? Hoe weet je of een systeem wordt aangevallen? Wat is een 'aanval'?
Ziet er leuk uit, maar ik weet niet hoeveel nut dit in het echt heeft
Maar hoe praktisch is dit? Er werd alleen een voorbeeld gegeven waarbij er pakketten werden gestuurd naar niet gebruikte IP adressen, wat zou betekenen dat er malware is wat zich aan het verspreiden is. Maar wat kan het nog meer dan? Hoe weet je of een systeem wordt aangevallen? Wat is een 'aanval'?
Ziet er leuk uit, maar ik weet niet hoeveel nut dit in het echt heeft
Ik zag ook enkele vensters met een heleboel realtime info voorbij schieten. Lijkt mij dat die alerts veel verschillende dingen kunnen aangeven.
Ghost in the shell was ook het 1e waar ik aan dacht :-)
Het lijkt mij wel dat dit soort dingen in een 3d engine makkelijker te navigeren zijn dan een web pagina die om de x seconden nieuwe info ophaalt .. een grafische display zoals deze kan gelijk visueel op inputs reageren.
Met b.v. Nagios duurt het altijd even voor je daadwerkelijk iets op het scherm ziet als je bijvoorbeeld niet om de 5 seconden een refresh doet van het display.
Het lijkt mij wel dat dit soort dingen in een 3d engine makkelijker te navigeren zijn dan een web pagina die om de x seconden nieuwe info ophaalt .. een grafische display zoals deze kan gelijk visueel op inputs reageren.
Met b.v. Nagios duurt het altijd even voor je daadwerkelijk iets op het scherm ziet als je bijvoorbeeld niet om de 5 seconden een refresh doet van het display.
Ziet er idd leuk uit. Indrukwekkend als eye-candy voor op een Operations Control Room als er prominent bezoek wordt verwacht. Maar veel te veel informatie op 1 scherm, als je 't mij vraagt (gelukkig doen sommige mensen dat ook nog daadwerkelijk af en toe ).
Nee, dan liever gewoon de good-old 'cat /var/log/firewall.log | grep -i alert'....
).Nee, dan liever gewoon de good-old 'cat /var/log/firewall.log | grep -i alert'....
[Reactie gewijzigd door tofus op 20 juni 2012 18:21]
Die UI is waardeloos.
Als ze verwachten dat je zelf door die data moet baggeren om te zien dat er 2 semi-transparante lijntjes naar ongebruikte adressen lopen dan zit er een steekje los bij die designers.
Veel en veel effectiever zou hetzijn om dat soort gevallen door de computer te laten identificeren en die informatie met text op een gewoon 2D vlak weer te geven.
En dat vind ik al bij 1 melding, stel je voor een massale aanval ofzo. Dan wordt je helemaal gek met een 3D scherm vol et schreeuwende iconen waar je tussen moet manouvreren.
Ik denk dan ook dat de UI een gimmick is om hun scansysteem (waar ik wel van onder de indruk was) te showen en dat het niet bedoelt is om in de praktijk op die manier gebruikt te worden.
Als ze verwachten dat je zelf door die data moet baggeren om te zien dat er 2 semi-transparante lijntjes naar ongebruikte adressen lopen dan zit er een steekje los bij die designers.
Veel en veel effectiever zou hetzijn om dat soort gevallen door de computer te laten identificeren en die informatie met text op een gewoon 2D vlak weer te geven.
En dat vind ik al bij 1 melding, stel je voor een massale aanval ofzo. Dan wordt je helemaal gek met een 3D scherm vol et schreeuwende iconen waar je tussen moet manouvreren.
Ik denk dan ook dat de UI een gimmick is om hun scansysteem (waar ik wel van onder de indruk was) te showen en dat het niet bedoelt is om in de praktijk op die manier gebruikt te worden.
OFT.
Ik had het twee dagen geleden op een andere site nog met iemand over Ghost in the shell.
Er was een nieuw chat portaal en ik deed vond het niet zo speciaal.
Toen zei hij: wat had je verwacht? Dat je door het scherm in een viritueele zaal werd getrokken?
(Na die opmerking wees ik hem op m'n avatar, die hier hetzelfde is XD )
OT.
Waarschijnlijk zullen we nog heel wat dingen uit die serie langs zien komen.
Ik had het twee dagen geleden op een andere site nog met iemand over Ghost in the shell.
Er was een nieuw chat portaal en ik deed vond het niet zo speciaal.
Toen zei hij: wat had je verwacht? Dat je door het scherm in een viritueele zaal werd getrokken?
(Na die opmerking wees ik hem op m'n avatar, die hier hetzelfde is XD )
OT.
Waarschijnlijk zullen we nog heel wat dingen uit die serie langs zien komen.
Doet me inderdaad denken aan bepaalde Japanse anime, mooi dat ze dit kunnen. 
Het ziet er leuk uit maar daar houdt het toch ook op? Meer om te leren dan om te analyseren, of heeft dit echt meerwaarde boven huidige systemen?
De meerwaarde is voornamelijk dat het er super geweldig uit ziet (en als het echt goed zou worden gedaan (kan ik uit de video niet opmaken) dan zou grafische input op zich goed kunnen werken).
Het is handig om een overzicht te krijgen, mensen kunnen beter om gaan met 3d objecten dan met log files van een paar gigabyte.
Als je bijvoorbeeld 500 aanvallen op 1 netwerk hebt, dan krijg je dus 500 entries in een logfile die misschien wel stampvol staat met minder relevante informatie. Je moet dan eerst de logfile doorspitten voordat je weet wat er aan de hand is.
Met dit systeem kun je in 1x zien wat er aan de hand is, dat het dan ook nog eens prachtig gevisualiseerd is is natuurlijk een mooi plus puntje.
Als je bijvoorbeeld 500 aanvallen op 1 netwerk hebt, dan krijg je dus 500 entries in een logfile die misschien wel stampvol staat met minder relevante informatie. Je moet dan eerst de logfile doorspitten voordat je weet wat er aan de hand is.
Met dit systeem kun je in 1x zien wat er aan de hand is, dat het dan ook nog eens prachtig gevisualiseerd is is natuurlijk een mooi plus puntje.
Het leuke van logfiles is juist dat het veel makkelijker is om er tools voor te schrijven. Dergelijke tools kunnen gewoon 24/7 operationeel zijn. Zie ik met een grafisch scherm nou niet zo snel gebeuren. Niet meer dan een leuke gimmick dus.
Deze visualisatie is toch juist zo'n tool die de logfiles interpreteert? Ik denk niet dat sHELL denkt dat deze visualisatie in het vervolg de bron van data is. Het is wat het is, een visualisatie van gegevens. Nergens staat geschreven dat het de enige visualisatie hoeft te zijn natuurlijk
Dit is puur een manier om de gegevens in kaart te brengen voor een mens; een machine heeft natuurlijk geen klap aan deze weergave, die heeft alleen de brongegevens nodig. En dat zijn hoogstwaarschijnlijk onder andere die logfiles waar jij over spreekt
Ook wordt heus niet uitgesloten dat je een extra tool kan draaien die in geval van condities X en Y, automatisch actie Z onderneemt. Maak er niet meer van dan het is.
Dit is puur een manier om de gegevens in kaart te brengen voor een mens; een machine heeft natuurlijk geen klap aan deze weergave, die heeft alleen de brongegevens nodig. En dat zijn hoogstwaarschijnlijk onder andere die logfiles waar jij over spreekt
Ook wordt heus niet uitgesloten dat je een extra tool kan draaien die in geval van condities X en Y, automatisch actie Z onderneemt. Maak er niet meer van dan het is.
[Reactie gewijzigd door Cloud op 20 juni 2012 15:42]
nope, juist niet:Deze visualisatie is toch juist zo'n tool die de logfiles interpreteert?
Het systeem is in staat om in realtime verkeer van verschillende netwerken in kaart te brengen en in drie dimensies te visualiseren
realtime, dus geen logfiles.
Wat is 'realtime' in dit geval? Je kunt logfiles ook prima 'realtime' uitlezen met bijvoorbeeld een tool als Splunk of Flume
Sterker nog, als ze _echt_ realtime het verkeer van 190.000 IP adressen aan het monitoren zijn, hebben ze een heel indrukwekkend systeem. Zelfs al is maar 50% van de IP adressen tegelijk actief, ze moeten (deep?) packet inspection uitvoeren op alle data die langskomt.
Dat gaat met logs een stuk makkelijker. Detecteren of een IP adres pakketten verstuurt naar een niet actief adres is typisch iets wat je uit de logs van bijv. een router of switch kunt plukken.
Sterker nog, als ze _echt_ realtime het verkeer van 190.000 IP adressen aan het monitoren zijn, hebben ze een heel indrukwekkend systeem. Zelfs al is maar 50% van de IP adressen tegelijk actief, ze moeten (deep?) packet inspection uitvoeren op alle data die langskomt.
Dat gaat met logs een stuk makkelijker. Detecteren of een IP adres pakketten verstuurt naar een niet actief adres is typisch iets wat je uit de logs van bijv. een router of switch kunt plukken.
[Reactie gewijzigd door MindStorm op 20 juni 2012 16:40]
Ja, vind ik ook. Het is een mooie maar compleet onbruikbare UI om hun ontzettend coole scantechnologie te presenteren.
Het zou echt ontzettend raar zijn als die vis niet uit log-data komt. Anders zou je bijvoorbeeld nooit in het verleden kunnen kijken.
Ik denk dat elke beetje serieuze netwerkeheerder liever hapklare informatie in textvorm heeft dan een 3D visualisatie waarie moet manouvreren en 3D objecten moet selecteren om de informatie te zien.
Met analysetools kun je veel bruikbaardere informatie extraheren dan wat je kan opmaken uit zo'n 3D visualisatie.
Speelgoed-UI dus.
Het zou echt ontzettend raar zijn als die vis niet uit log-data komt. Anders zou je bijvoorbeeld nooit in het verleden kunnen kijken.
Ik denk dat elke beetje serieuze netwerkeheerder liever hapklare informatie in textvorm heeft dan een 3D visualisatie waarie moet manouvreren en 3D objecten moet selecteren om de informatie te zien.
Met analysetools kun je veel bruikbaardere informatie extraheren dan wat je kan opmaken uit zo'n 3D visualisatie.
Speelgoed-UI dus.
Je zou ook kunnen stellen dat het systeem realtime de logfiles interpreteert en het resultaat daarvan weergeeft. Dat lijkt mij een aannemelijker scenario namelijk. En misschien zitten er wel geen fysieke oldschool logfiles tussen, maar een database. Of een middleware server met een stel webservices. Dat doet er ook niet toe. Mijn punt was dat het een visualisatie is en dat de data zelf een ander aspect is Er _moet_ data zijn om weer te geven, dat het realtime wordt weergegeven legt geen enkele restrictie op aan hoe die data opgeslagen is.
Wat jij erin leest blijkt verder nergens uit en het lijkt mij persoonlijk ook héél erg stug dat ze een systeem zouden maken waarbij de data zelf en de visualisatie zodanig geïntegreerd zijn dat de data niet los valt te gebruiken. Dat is een oliedom design besluit en nogmaals; dat blijkt nergens uit.
Er _moet_ data zijn om weer te geven, dat het realtime wordt weergegeven legt geen enkele restrictie op aan hoe die data opgeslagen is.Wat jij erin leest blijkt verder nergens uit en het lijkt mij persoonlijk ook héél erg stug dat ze een systeem zouden maken waarbij de data zelf en de visualisatie zodanig geïntegreerd zijn dat de data niet los valt te gebruiken. Dat is een oliedom design besluit en nogmaals; dat blijkt nergens uit.
Deze data als logs bestaan ook nog steeds, maar in tegenstelling tot wat je zou denken zijn het juist de niet technische mensen die met zo een systeem moeten omgaan. Een helpdesk medewerker die nacht permanentie heeft bijvoorbeeld. Hoe gemakkelijker te interpreteren, hoe beter dit systeem voor hen werkt.
"Een helpdesk medewerker die nacht permanentie heeft bijvoorbeeld. "
En wat heeft een helpdeskmedewerker meer aan deze voorstelling van data tegenover een simpel mailtje van het systeem dat zegt: je netwerk wordt aangevallen ?
Ik bedoel, voordat het systeem zo'n mooi rood zwevend icoontje kan presenteren (waar de gebruiker dan nog eerst heen moet navigeren) is de aanval dus al bekend bij het systeem.
Dan wil ik liever instant informatie in tekstvorm, zeker als ik dan nog iets met die infromatie moet gaan doen.
En wat heeft een helpdeskmedewerker meer aan deze voorstelling van data tegenover een simpel mailtje van het systeem dat zegt: je netwerk wordt aangevallen ?
Ik bedoel, voordat het systeem zo'n mooi rood zwevend icoontje kan presenteren (waar de gebruiker dan nog eerst heen moet navigeren) is de aanval dus al bekend bij het systeem.
Dan wil ik liever instant informatie in tekstvorm, zeker als ik dan nog iets met die infromatie moet gaan doen.
Eeeh, dit is toch z'n tool?
Nog nooit van powershell of bash gehoord? grep -i, findstr? foreach-object?
Je zou een applicatie kunnen maken die het logfile analyseert op gelijke entries en die dan grafisch presenteert in grafiek en percentages geeft. Je kan ook toevoegen dat bepaalde specifieke entries waarvan je weet dat ze verdacht zijn automatisch toont en zo nodig de kleur in het logfile verandert. Zo heb je een combinatie van je goede oude logfile en grafisch getoonde relevante informatie.
Maar goed, misschien bestaan dit soort applicaties al.
Maar goed, misschien bestaan dit soort applicaties al.
Het lijkt me een stuk minder praktisch dan simpelweg een systeempje dat hetzelfde in tekst laat zien. Deze kunnen ook prima met een rood knipperend waarschuwingssymbool worden uitgerust, waardoor een waarschuwing net zo hard opvalt, maar iets makkelijker te lokaliseren is dan in deze brij.
Hetzelfde in tekst zou je een muisarm van het scrollen opleveren.
Is leuk en aardig, maar niet realtime. Dat is dit dus wel, oftewel het stelt je in staat om zeer snel dreigingen te zien, zelfs als het er honderden tegelijk zijn of als het een one to many aanval is. Tegen de tijd dat je al je logging door hebt gespit in powershell/bash en je een beeld hebt gevormd, had je ook al bezig kunnen zijn met het tij keren of iets oplossen. Lijkt mij dat hier dus wel een goede toepasbaarheid voor is te verzinnen.
tailf /log.log | grep '<zoekstring>'
kan realtime info opleveren maar het is natuurlijk heel erg basic. er zijn al tools die zulke weergaves bieden voor intrusion detection (system) enzovoort of health monitoring (zabbix, nagios)
maar ik zie tog liever een grafische weergaven. gewoon omdat het kan
bovendien is een 3d weergave overzichtelijker zo kun je een aanval spotten op al de netwerken of juist 1 zonder eerst 10000000000000 ddos atacklogs te zien van 1 van de 10 netwerken.
kan realtime info opleveren maar het is natuurlijk heel erg basic. er zijn al tools die zulke weergaves bieden voor intrusion detection (system) enzovoort of health monitoring (zabbix, nagios)
maar ik zie tog liever een grafische weergaven. gewoon omdat het kan
bovendien is een 3d weergave overzichtelijker zo kun je een aanval spotten op al de netwerken of juist 1 zonder eerst 10000000000000 ddos atacklogs te zien van 1 van de 10 netwerken.
[Reactie gewijzigd door Proxx op 20 juni 2012 18:01]
Oh, geloof me, in realtime is het prima te doen. duizenden en duizenden logregels per seconde die voorbij flitsen, en dan nog afwijkingen er uit kunnen vissen. het menselijk oog en brein zijn wonderbaarlijk goed geschikt voor dergelijke dingen.Is leuk en aardig, maar niet realtime.
dit oogt een stuk rustiger, wat betekend dat je 't waarschijnlijk ook kan laten bedienen/gebruiken door mensen die niet het talent / de ervaring hebben om duizenden logregels per seconde te bekijken op rare dingen.
Je kunt Daedalus inderdaad geven aan een persoon met minder inhoudelijke kennis, die de "echte" attacks, of anderzijds de attacks waar NU wat mee gedaan moeten, kan overdragen aan de experts. Wrs kan dit systeem ook de relevante log-entries erbij vissen.
Wat mensen kunnen, is niet gelijk aan wat mensen willen. Je kunt niet iemand 8 uur per dag logfiles laten bekijken. Dan kun je binnen 2 weken een ander gaan zoeken die het ook weer 2 weken uithoudt. Het grafische aspect maakt ook dat je veel effectiever kunt zien wat er speelt, en hoe het overzicht eruit ziet. Dit zie je ook terug bij analisten, die liever naar grafiekjes kijken voor overzicht, dan naar tabellen. Voor details ga je dan naar de tabellen.
Wat mensen kunnen, is niet gelijk aan wat mensen willen. Je kunt niet iemand 8 uur per dag logfiles laten bekijken. Dan kun je binnen 2 weken een ander gaan zoeken die het ook weer 2 weken uithoudt. Het grafische aspect maakt ook dat je veel effectiever kunt zien wat er speelt, en hoe het overzicht eruit ziet. Dit zie je ook terug bij analisten, die liever naar grafiekjes kijken voor overzicht, dan naar tabellen. Voor details ga je dan naar de tabellen.
[Reactie gewijzigd door _Thanatos_ op 20 juni 2012 19:56]
Het is grofweg hetzelfde als met elke vorm van monitoring. Je kan je heel druk maken met erg in de diepte kijken, wat je tegenwoordig vaak alleen doet om een root cause te achterhalen, of je kan zeer grote stromen aan data en acties pre-definiëren en er op deze manier mee omgaan, zodat je ook nog eens toekomt aan andere dingen.
"Is leuk en aardig, maar niet realtime."
Onzin.
Dit systeem is niet meer real-time dan logfiles.
Hoe dan ook moet dat systeem de informatie tusentijds opslaan, anders kun je er geen visualisatie van maken.
Die data moet ook nog worden geanaliseert, want anders weet het systeem niet ofie een groen of een rood icoontje moet tonen.
Niemand gaat serieus bij een grote netwerkaanval regel voor regel door de logs spitten.
Je hebt gewoon analysetools die het verkeer monitoren en je informatie geven over mogelijke aanvallen. hetzelfde als in dit artiekel dus, alleen krijg je de informatie direct en hoef je het niet eerst op te gaan zoeken in een 3D representatie.
Als die UI werkelijk bedoeld was om werk op te verrichten dan hadden ze op z'n minst de nodes niet laten roteren en hadden ze een zooi verwarrende particle-effecten vervangen door duidelijkere verbindingen.
Made to impress.
Onzin.
Dit systeem is niet meer real-time dan logfiles.
Hoe dan ook moet dat systeem de informatie tusentijds opslaan, anders kun je er geen visualisatie van maken.
Die data moet ook nog worden geanaliseert, want anders weet het systeem niet ofie een groen of een rood icoontje moet tonen.
Niemand gaat serieus bij een grote netwerkaanval regel voor regel door de logs spitten.
Je hebt gewoon analysetools die het verkeer monitoren en je informatie geven over mogelijke aanvallen. hetzelfde als in dit artiekel dus, alleen krijg je de informatie direct en hoef je het niet eerst op te gaan zoeken in een 3D representatie.
Als die UI werkelijk bedoeld was om werk op te verrichten dan hadden ze op z'n minst de nodes niet laten roteren en hadden ze een zooi verwarrende particle-effecten vervangen door duidelijkere verbindingen.
Made to impress.
Het is nu een vrij abstracte weergave; maar als je dit gaat combineren met geografische data zou het best een effectieve weergave kunnen zijn lijkt mij.
Lijstjes zijn natuurlijk erg to the point maar het kan veel informatie zijn die je moet verwerken. Als je één klein netwerk in de gaten moet houden is dat misschien wel te doen. Maar als je zoals in het voorbeeld meerdere netwerken tegelijkertijd bekijkt, kan het wel eens teveel informatie zijn om te verwerken. Zeker als je rekening houdt met de reële kans op false positives. Het feit dat de data nu 3D weergegeven wordt (eventueel dan met geo-data) zorgt voor een wat schonere weergave in zo'n situatie, lijkt mij.
Ik denk dat een visualisatie als dit nog best wel eens toekomst kan hebben, al weet ik nog niet precies hoe. Misschien door een dergelijke visualisatie los te laten op andere data, zoals binnen oorlogsvoering, douanegegevens, of simpeler; een 112-centrale. Vind het in elk geval wel een erg interessante ontwikkeling
Lijstjes zijn natuurlijk erg to the point maar het kan veel informatie zijn die je moet verwerken. Als je één klein netwerk in de gaten moet houden is dat misschien wel te doen. Maar als je zoals in het voorbeeld meerdere netwerken tegelijkertijd bekijkt, kan het wel eens teveel informatie zijn om te verwerken. Zeker als je rekening houdt met de reële kans op false positives. Het feit dat de data nu 3D weergegeven wordt (eventueel dan met geo-data) zorgt voor een wat schonere weergave in zo'n situatie, lijkt mij.
Ik denk dat een visualisatie als dit nog best wel eens toekomst kan hebben, al weet ik nog niet precies hoe. Misschien door een dergelijke visualisatie los te laten op andere data, zoals binnen oorlogsvoering, douanegegevens, of simpeler; een 112-centrale. Vind het in elk geval wel een erg interessante ontwikkeling
Het zat er eigenlijk wel aan te komen. Natuurlijk is deze manier zeer fancy en zoals iemand al zei; Ghost in the Shell waardig. Vraag is hoeveel extra waarde het bied buiten de fancy look. Punt is echter dat veel mensen het liever wel visueel zien op een dergelijke manier. Het doet me denken aan mijn HBO jaren; grijze achtergrond, blauwe hyperlinks en that's it. Voor een Programmeur voldoende, voor een gebruiker butt-ugly.
[Reactie gewijzigd door Auredium op 20 juni 2012 15:45]
Dit zou voor mij vele malen makkelijker werken dan van die gort droge .txt bestandjes. Plus dat je op deze manier veel meer verbindingen realtime kan weergeven heb ik het idee.
Gewoon een 3D-schilletje om een (virus)diagnosetooltje... That's it.
Een 'goed gebotnette' PC verschijnt helemaal niet in dat 3D-overzicht, net als nu gewoon bij 2D-virusscanners die pas gedraaid/geïnstalleerd worden als er al een rootkitje op je PC zit.
Een 'goed gebotnette' PC verschijnt helemaal niet in dat 3D-overzicht, net als nu gewoon bij 2D-virusscanners die pas gedraaid/geïnstalleerd worden als er al een rootkitje op je PC zit.
Ik denk dat het nieuwswaardige vooral de visualisatie is; natuurlijk is de invulling van die weergave wel afhankelijk van wat voor scanning je gebruikt.
Al zou ik niet zover durven gaan als stellen dat een 'goed gebotnette' pc zeker niet zou verschijnen. Jij lijkt er vanuit te gaan dat de scanning op de pc zelf gedaan wordt, maar deze visualistatie betreft netwerkverkeer hé. Dat zou dus prima door hardware (bijvoorbeeld een IPS) in het netwerk, geheel buiten de besmette pc om, kunnen werken.
Al zou ik niet zover durven gaan als stellen dat een 'goed gebotnette' pc zeker niet zou verschijnen. Jij lijkt er vanuit te gaan dat de scanning op de pc zelf gedaan wordt, maar deze visualistatie betreft netwerkverkeer hé. Dat zou dus prima door hardware (bijvoorbeeld een IPS) in het netwerk, geheel buiten de besmette pc om, kunnen werken.
De meeste botnetjes sturen spam en niet al te vaak per uur en kijken ook wanneer de PC idle is, en gebruiken nauwelijks CPU enzo. Alles is er tegenwoordig op gericht dat de gebruiker er niks van merkt.
IPS kan daar weinig tot niks mee.
IPS kan daar weinig tot niks mee.
[Reactie gewijzigd door kimborntobewild op 21 juni 2012 08:24]
Ja hoor perfect zo een 3 beeld, dan moet je daar dus de hele dag naar kijken. Het is wel gaaf dat geef ik toe. Maar logfiles en database gaan wel even verder, en kunnen je waarschuwen als een specifieke conditie zich voordoet, I.P.V. hele dag naar een scherm kijken om te zien of er iets gebeurd.
Als je kunt automatiseren/scripten/programmeren, dan wil je logfiles. 3D beelden zijn leuk, maar is weinig automation op toe te passen.
Als je kunt automatiseren/scripten/programmeren, dan wil je logfiles. 3D beelden zijn leuk, maar is weinig automation op toe te passen.
Je slaat al de hele tijd de bal mis. Automation kan nog altijd op de data worden toegepast. Het is een visualisering, net zoals de lijstjes een visualisering zijn, alleen wat minder gegroepeerd. Logfiles en databases blijven de bron, alleen de visualisering van waarschuwingen en dergelijke is helemaal anders.
Een filter hier en je ziet enkel de verbindingen die verdacht zijn, of als je een specifieke conditie aan een waarschuwing wenst te koppelen, dan zie je die evengoed, ander kleurtje, dikke verbinding, genoeg mogelijkheden. Maar het is niet de bedoeling dat dit de lijstjes vervangt, het toont dezelfde lijstjes op een aangename manier.
Een filter hier en je ziet enkel de verbindingen die verdacht zijn, of als je een specifieke conditie aan een waarschuwing wenst te koppelen, dan zie je die evengoed, ander kleurtje, dikke verbinding, genoeg mogelijkheden. Maar het is niet de bedoeling dat dit de lijstjes vervangt, het toont dezelfde lijstjes op een aangename manier.
Ik vind het wel heel vreemd dat een commerciele partij zomaar wordt toegestaan om DPI toe te passen op het netwerkverkeer van 190.000 addressen...
Die 190.000 adressen kunnen prima allerlei overheidsadressen zijn, of zelfs slechts educatieve ip's. In de video wordt immers ook aangegeven dat niet alle van de bekeken adressen actief in gebruik zijn.
Verder, waar lees jij dat het om DPI gaat?
Wat ze tonen kan prima gemaakt worden door slechts te kijken naar de logs van hardwarematige firewalls.
Verder, waar lees jij dat het om DPI gaat?
Wat ze tonen kan prima gemaakt worden door slechts te kijken naar de logs van hardwarematige firewalls.
De mensen die de hele tijd beginnen over het feit dat logfiles superieur zouden zijn snappen het, mijns inziens, niet helemaal. Dit systeem is gewoon een monitoring systeem, een alternatief voor real-time log files bekijken. Zodra het systeem iets vreemds detecteert, geeft het een visuele trigger zodat de gebruiker ziet dat er iets niet goed gaat en waar.
Als mensen dit willen vergelijken met iets, vergelijk het dan met een anti-virus/firewall applicatie die een pop-up geeft zodra er iets fout gaat.
Ik vind het wel interessant. Ik kan me voorstellen dat sysadmins van grote netwerken dit zouden kunnen draaien en zo heel snel een beeld kunnen krijgen wat er allemaal gaande is in het netwerk. Misschien zou het systeem ook zaken zoals excessief bandbreedte gebruik kunnen tonen.
Waar ik wel vraagtekens bij zet is de logica achter een IP die probeert te communiceren met niet bestaande IP's. Virussen doen toch gewoon eerst een netwerk scan en zien dan gelijk welke IP's er online zijn? Kan me niet voorstellen dat virussen lekker lomp hun payload via het broadcast adress verspreiden.
Als mensen dit willen vergelijken met iets, vergelijk het dan met een anti-virus/firewall applicatie die een pop-up geeft zodra er iets fout gaat.
Ik vind het wel interessant. Ik kan me voorstellen dat sysadmins van grote netwerken dit zouden kunnen draaien en zo heel snel een beeld kunnen krijgen wat er allemaal gaande is in het netwerk. Misschien zou het systeem ook zaken zoals excessief bandbreedte gebruik kunnen tonen.
Waar ik wel vraagtekens bij zet is de logica achter een IP die probeert te communiceren met niet bestaande IP's. Virussen doen toch gewoon eerst een netwerk scan en zien dan gelijk welke IP's er online zijn? Kan me niet voorstellen dat virussen lekker lomp hun payload via het broadcast adress verspreiden.
Zo'n systeem staat of valt natuurlijk bij hoe goed de detectie van de software is.
De meerwaarde zit hem denk ik in het realtime kunnen zien wat het verkeer doet.
Je kan natuurlijk ook een hoop logs open zetten maar daar ben je veel minder geneigd om even naar te kijken als je denkt dat niet nodig is.
Natuurlijk kan je in logs ook alles zien maar dat is nooit zo snel en interessant als dit.
Je kan nog veel verder gaan door in het systeem ook meteen configuratie mogelijkeden te bouwen.
Bijvoorbeeld door realtime verkeer om te leiden als bijv een gateway er uit ligt of een server onderhoud nodig heeft.
De meerwaarde zit hem denk ik in het realtime kunnen zien wat het verkeer doet.
Je kan natuurlijk ook een hoop logs open zetten maar daar ben je veel minder geneigd om even naar te kijken als je denkt dat niet nodig is.
Natuurlijk kan je in logs ook alles zien maar dat is nooit zo snel en interessant als dit.
Je kan nog veel verder gaan door in het systeem ook meteen configuratie mogelijkeden te bouwen.
Bijvoorbeeld door realtime verkeer om te leiden als bijv een gateway er uit ligt of een server onderhoud nodig heeft.
Mee eens, ik denk dat het systeem valt of staat met de uitbreidbaarheid.
Aan de ene kant vind ik de ruimtelijke presentatie leuk, omdat ons brein goed is in het verwerken van gegevens die op die manier gepresenteerd worden. Aan de andere kant, de gegevens die ze nu presenteren zou je ook prima in 2D (graaf/tree/nested list) kunnen plotten. Alle niet relevante traffic hoef je niet te presenteren (ziet er leuk complex uit maar voegt verder niets toe), en de potentiele beveiligingsproblemen wil je eigenlijk als geordende lijst van subnodes per site-node, met een bepaald maximum om clutter te voorkomen.
Dus als de visualisatie een feature is van een verder goed uitbreidbaar monitoring systeem, dan wil ik het best hebben voor onze ICT kamer! Als dit alles is wat het doet, dan installeer ik het misschien als screensaver. Ik vraag me af of er beveiligings-issues zijn waarbij 3D een natuurlijke presentatievorm is... jullie een idee?
Aan de ene kant vind ik de ruimtelijke presentatie leuk, omdat ons brein goed is in het verwerken van gegevens die op die manier gepresenteerd worden. Aan de andere kant, de gegevens die ze nu presenteren zou je ook prima in 2D (graaf/tree/nested list) kunnen plotten. Alle niet relevante traffic hoef je niet te presenteren (ziet er leuk complex uit maar voegt verder niets toe), en de potentiele beveiligingsproblemen wil je eigenlijk als geordende lijst van subnodes per site-node, met een bepaald maximum om clutter te voorkomen.
Dus als de visualisatie een feature is van een verder goed uitbreidbaar monitoring systeem, dan wil ik het best hebben voor onze ICT kamer! Als dit alles is wat het doet, dan installeer ik het misschien als screensaver
. Ik vraag me af of er beveiligings-issues zijn waarbij 3D een natuurlijke presentatievorm is... jullie een idee?
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
