AkabSensor è la famiglia di apparati che costituiscono la base dell'architettura Akab e sono preposti alla gestione dei dati raccolti dalla rete e/o ricevuti dai sistemi.

Il ruolo di tali apparati è fondamentale poichè forniscono i dati agli algoritmi di Anomaly Detection ed Event Correlation che verranno applicati dagli apparati di livello superiore.

La famiglia di apparati AkabSensor comprende apparati specializzati per particolari funzioni, divisi tra Security Management e Network Management: security audit (AS-SA), intrusion detection (AS-ID), bandwidth management (AS-BM), traffic monitoring (AS-TM), log server (AS-LS).

Gli apparati della linea Network Management (BM, TM e LS) sono configurabili in modalità stand-alone.

AkabSensor Intrusion Detection è un apparato progettato per la acquisizione ed interpretazione del traffico di rete per la rilevazione di tentativi di attacco/intrusione in rete.

Caratteristiche

AS-ID acquisisce e analizza il traffico di rete per rilevare eventuali tentativi di attacco e/o intrusione in rete.
AS-ID può operare in due modalità: "signature-based" e "anomaly-based".
I dati rilevati sono memorizzati in formato raw e in formato SQL ai fini di analisi successive o forensi.

Modalità

Signature-based
L'acquisizione puntuale del traffico di rete permette di confrontare le caratteristiche (protocolli, sorgente, destinazione,...) ed il contenuto dei pacchetti (payload), tramite un insieme di regole (rules), a schemi (signatures) riconosciuti come anomali. Tale meccanismo permette quindi, tramite un confronto puntuale con schemi noti di attacchi/intrusioni di identificare i tentativi non autorizzati e fraudolenti di accedere e/o attaccare i sistemi.
Anomaly-based
In tale modalità, AS-ID confronta i modelli di traffico (per quantità e qualità) e comportamentali (di protocolli e applicazioni) per inferire la rilevazione di eventuali anomalie.

Correlazione di eventi e AKevent

Attraverso l'identificazione puntuale degli attacchi e/o di comportamenti anomali, AS-ID permette di definire delle regole di filtraggio e delle regole di correlazione che consentono di generare dei messaggi AKevent significativi ai fini del monitoraggio e della sicurezza dei sistemi.

Aggiornamento del sistema di rules e signatures

Il sistema di rules e signatures richiede una verifica ed un aggiornamento costanti e puntuali affinchè possa essere mantenuto in costante efficienza ed efficacia.
Tale aggiornamento viene svolto in maniera automatica tramite collegamento diretto ai sistemi centrali Araknos che distribuiscono e controllano quanto necessario ai vari apparati.

Presentazione dei dati

I dati memorizzati vengono quindi presentati tramite l'interfaccia Web, caratteristica dell'architettura Akab, e sono documentabili in appositi report, selezionabili con criteri temporali.

Report configurati

Maggiori attaccanti, principali tipi di attacco, principali target degli attacchi,...

Alta disponibilità

Ogni sistema AS-ID è dotabile di un sistema secondario in stand-by (fail-over) che interviene automaticamente, in caso di malfunzionamenti, sostituendosi al primario.