有人知道用于 DDOS 和隧道的 Netflow 异常检测的任何开源代码吗?我是这个领域的新手。我在 github 上确实发现很少,但是任何有更多经验的人都可以提供建议。
只是想尝试一些来了解它们是如何工作的,所以 python 或 r 或 c++ 语言都可以
问问题
312 次
1 回答
0
有一些很好的资源可用于摄取各种流格式。更难的部分是进行异常检测。您可以考虑“R”,例如: http ://www.ojscurity.com/2014/10/r-netflow-analytics-i.html
在尝试检测隧道时,您需要建立一个或多个可用于“分析”流量的指标。通常,这将基于每个端点、每个协议。例如,到亚马逊的 HTTPS 流量看起来与观看 NetFlix 内容不同。您建立的指标应该使您能够检测到给定类型流量的典型模式中的机会。
因此,仅使用流数据可能很难检测通过 HTTPS 隧道传输的 HTTP 流量。但是,由于每个协议的容量和会话时间特性不同,通过 DNS 传输 HTTP 流量应该相当容易检测。
DDoS 更直接,并且可以通过体积“基线”检测到,因为典型的攻击本质上非常响亮。虽然,您在协议和数据包类型方面获得的越具体,您的 DDoS 检测就会越快、越准确。
最后,您对正在监控的网络“了解”越多,就越能更好地发现异常情况。这里有一些明显的第一原则,因为 DDoS 攻击非常响亮,并且大多数协议都具有众所周知的音量/定时特性,但是了解网络的典型特征是减少误报的最佳方法。
于 2017-03-22T20:10:52.747 回答