類別列表是一種控制機(jī)制，用于根據(jù)類別對(duì)流量進(jìn)行標(biāo)記。在 nDPI（構(gòu)建 ntop 應(yīng)用程序的流量分類引擎）中，有多種類別，包括（但不限于）

挖礦

惡意軟件

廣告

文件共享

視頻流

黑名單是 IP 地址或符號(hào)域名的列表，用于標(biāo)記惡意流量。這些列表通常使用蜜罐計(jì)算，本質(zhì)上是部署在網(wǎng)絡(luò)（通常是 Internet）上的主機(jī)或服務(wù)，它們很容易被入侵，并且在使用/受到攻擊時(shí)，它們充當(dāng)了發(fā)現(xiàn)攻擊者和入侵者的現(xiàn)代“試金石”。

黑名單通常包含公共 IP 地址/域名，因?yàn)樗鼈冇糜凇邦A(yù)測(cè)問題”：這是因?yàn)槿绻?IP 地址已被列入黑名單，則該主機(jī)做了壞事，因此當(dāng)我們?cè)诰W(wǎng)絡(luò)中看到這樣的流量時(shí)，對(duì)于這樣的主機(jī)，我們需要小心，因?yàn)槲覀兛赡苷谑艿焦?掃描。請(qǐng)注意，黑名單和蜜罐也可以部署在專用網(wǎng)絡(luò)上：例如，您可以在網(wǎng)絡(luò)中保留一系列未分配的 IP 地址并將它們添加到黑名單中，以發(fā)現(xiàn)通過橫向移動(dòng)掃描您 LAN 的內(nèi)部主機(jī)。

在 ntopng 中，您可以使用左側(cè)邊欄中的黑名單菜單指定要使用的黑名單。

ntopng 附帶各種高質(zhì)量的內(nèi)置黑名單，由 ntopng 定期刷新。 事實(shí)上，非常重要的是：

定期刷新黑名單，因?yàn)檫^時(shí)的信息可能導(dǎo)致誤報(bào)。

使用高質(zhì)量的黑名單，它們由專業(yè)人員不斷更新。

如上所述，您可以創(chuàng)建自己的黑名單并將其上傳到 ntopng。您需要做的就是轉(zhuǎn)到/usr/share/ntopng/httpdocs/misc/lists/custom并創(chuàng)建一個(gè)自定義配置文件，例如：

{"name":"MyBlackList","format":"ip","enabled":true,"update_interval":86400,"url":"https://blacklist.local/myblacklist.csv","category":"malware"}

它指示 ntopng 每天從https://blacklist.local/myblacklist.csv 下載自定義黑名單，其中包含應(yīng)該是惡意軟件（或蜜罐）的 IP 地址（每行一個(gè)）。

每當(dāng) ntopng 在惡意軟件列表中看到涉及主機(jī)的流時(shí)，就會(huì)生成警報(bào)

對(duì)于這樣的主機(jī)，可以使用接收者/端點(diǎn)機(jī)制觸發(fā)一個(gè)動(dòng)作。

擴(kuò)展閱讀

ntop產(chǎn)品介紹

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡(jiǎn)單且無需任何專業(yè)硬件即可實(shí)現(xiàn)高速流量分析。解決方案由多個(gè)組件構(gòu)成，每個(gè)組件即可單獨(dú)使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度，DPDK替代方案。

nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

n2disk：用于高速連續(xù)流量存儲(chǔ)處理和回放。

ntopng:基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具，用于實(shí)時(shí)監(jiān)控和回溯分析。

虹科是在各細(xì)分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡(jiǎn)單！憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級(jí)供應(yīng)商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動(dòng)態(tài)防御），網(wǎng)絡(luò)安全評(píng)級(jí)，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時(shí)間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國(guó)內(nèi)外專業(yè)協(xié)會(huì)和聯(lián)盟的活動(dòng)，重視技術(shù)培訓(xùn)和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國(guó)通信企業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們?cè)诓粩鄤?chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴的方案，堅(jiān)持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。