Kennt jemand Open Source-Codes für Netflow Anomalie-Erkennung für DDOS und Tunneling? Ich bin ein Neuling in diesem Bereich. Ich habe sehr wenige auf Github gefunden, aber jeder, der mehr Erfahrung damit hat, beraten.Echtzeitanomalieerkennungspakete
wollen nur einige versuchen, zu verstehen, wie sie so Sprache Python oder r oder C++ Sprache sind gut funktionieren
ist Es gibt einige große Ressourcen um für die verschiedenen Strömungsformate Einnahme. Der schwierigere Teil ist die Anomalieerkennung. Sie könnten 'R' betrachten, zum Beispiel: http://www.ojscurity.com/2014/10/r-netflow-analytics-i.html
Wenn Sie versuchen, Tunneling zu erkennen, müssen Sie eine oder mehrere Metriken einrichten, mit denen Sie den Datenverkehr "profilieren" können. Normalerweise würde dies auf einer pro-Endpunkt-, pro-Protokoll-Basis sein. Zum Beispiel sieht der HTTPS-Verkehr zu Amazon anders aus als NetFlix-Inhalte zu sehen. Die von Ihnen festgelegten Metriken sollten es Ihnen ermöglichen, eine Chance im typischen Muster für einen bestimmten Verkehrstyp zu erkennen.
Es kann daher schwierig sein, über HTTPS getunnelten HTTP-Verkehr zu ermitteln, indem nur Daten zum Datenfluss verwendet werden. Tunneln von HTTP-Datenverkehr über DNS sollte jedoch aufgrund der unterschiedlichen volumetrischen und Sitzungs-Timing-Eigenschaften jedes Protokolls relativ einfach zu erkennen sein.
DDoS ist einfacher und kann durch eine volumetrische "Grundlinie" erkannt werden, da typische Angriffe extrem laut sind. Je spezifischer Sie jedoch hinsichtlich des Protokolls und des Pakettyps sind, desto schneller und genauer wird Ihre DDoS-Erkennung sein.
Schließlich, je mehr Sie über das Netzwerk, das Sie überwachen, "wissen", desto besser können Sie Anomalien auffangen. Es gibt einige offensichtliche Grundprinzipien, DDoS-Attacken sind laut, und die meisten Protokolle haben ziemlich bekannte Volumen-/Timing-Eigenschaften, aber das Lernen von typischen Netzwerken ist der beste Weg, falsche Positive zu reduzieren.