W środku i na zewnątrz

Architektura systemu została opracowana pod kątem trybu pracy wewnątrz domeny oraz do współpracy między domenami. Działania wewnątrz domeny polegają na monitorowaniu węzłów domeny i zbieraniu danych (zajętości pamięci, interfejsach, anomaliach ruchowych, przeciwdziałaniach atakom, itp., do tego służą węzły BlockMon Nodes). Wstępnie przetworzone dane są następnie kontrolowane przez systemową funkcję orchestration, która dostarcza informacji dla użytkowników systemu DEMONS, w celu podjęcia dalszych działań obronnych. Jeśli wykryta anomalia obejmuje tylko obszar kontrolowanej domeny, do minimalizacji skutków zagrożenia wystarczy działanie lokalne, podjęte w obrębie węzłów BlockMon.

W trybie międzydomenowym wyznaczono punkt wymiany danych (IXP), który także dba o ochronę danych przy przekraczaniu granicy domeny.

Za zbieranie danych odpowiedzialne są moduły BlockMon Nodes, które dokonują wstępnej analizy. Następnie informacja o anomalii jest przekazana do aplikacji użytkownika za pomocą interfejsu AUI oraz do narzędzia koordynacji WPO. Gdy informacje o anomaliach wykraczają poza domenę (na przykład atak DDoS pochodzi spoza danego kraju), są rozgłaszane za pomocą interfejsu IXP do wszystkich pozostałych połączonych systemów. Działania blokowania ruchu są podejmowane możliwie blisko źródła, ale zawsze muszą być potwierdzone lokalnie.

Gdy zagrożenie jest nieznane

Ważną opcją DEMONS jest możliwość wykrywania nieznanych dotąd ataków, dla których nie istnieją żadne reguły IPS ani kryteria. Najmocniejszym narzędziem jest w tym przypadku analiza ruchu - w Polsce przyjęto, że operacje statystyczne są obliczane na podstawie strumieni danych i analizy nagłówków pakietów. Informacja na temat charakterystyki ruchu nie wychodzi poza lokalne węzły, nie jest nikomu udzielana w żadnej postaci, nie podlega także wymianie z żadnym innym podmiotem, gdyż służy jedynie do lokalnych obliczeń. Gdy moduły te wykryją anomalie, mogą odpytać za pomocą IXP systemy z pozostałych krajów. Udzielona odpowiedź oznacza, że podobne anomalie już były wykryte jako atak, a zatem mogą być podjęte działania lokalne, związane z blokowaniem szkodliwego ruchu. System ten działa w czasie rzeczywistym.

Tekst powstał na podstawie "DEMONS - system rozproszonego monitoringu zagrożeń internetowych w Europie", autorzy: Robert Filasiak i Marian Suskiewicz. Materiał ten jest dostępny online pod adresemhttp://www.itstandard.pl/whitepaper/1819-DEMONS.system.rozproszonego.monitoringu.zagrozen.internetowych.w.Europie.html .