是否有人知道有关DDOS和隧道的Netflow异常检测的任何开源代码?我是这个领域的新手。我确实在github上发现很少,但是对它有更多经验的人,建议。
只想尝试一些了解它们是如何工作的,所以python或r或c ++语言的语言都很好
答案 0 :(得分:0)
有一些很好的资源可用于摄取各种流格式。更难的部分是进行异常检测。您可以考虑使用例如:http://www.ojscurity.com/2014/10/r-netflow-analytics-i.html
尝试检测隧道时,您需要建立一个或多个可用于"配置文件"交通。通常,这将基于每个端点,每个协议。例如,亚马逊的HTTPS流量与观看NetFlix内容不同。您建立的指标应该使您能够检测给定类型流量的典型模式中的机会。
因此,通过仅使用流数据来检测通过HTTPS进行隧道传输的HTTP流量可能很困难。但是,由于每个协议的容量和会话时序特征不同,通过DNS隧道传输HTTP流量应该相当容易检测。
DDoS更直接,并且可以通过体积"基线"来检测,因为典型的攻击本质上是非常响亮的。虽然,在协议和数据包类型方面越具体,DDoS检测的速度就越快,越准确。
最后,你越了解"关于您正在监控的网络,您能够更好地发现异常情况。这里有一些明显的第一原则,因为DDoS攻击响亮,大多数协议具有相当广为人知的音量/时序特性,但了解网络的典型特征是减少误报的最佳方法。