Есть несколько отличных ресурсов для приема различных потоковых форматов. Сложнее всего обнаружить аномалию. Вы можете использовать "R", см., Например: http://www.ojscurity.com/2014/10/r-netflow-analytics-i.html
При попытке обнаружить туннелирование вам потребуется установить одну или несколько метрик, которые можно использовать для «профилирования» трафика. Обычно это делается для каждой конечной точки, для каждого протокола. Например, трафик HTTPS на Amazon выглядит иначе, чем просмотр контента NetFlix. Установленные вами метрики должны позволить вам обнаружить вероятность типичного шаблона для данного типа трафика.
Таким образом, может быть сложно обнаружить HTTP-трафик, туннелируемый через HTTPS, используя только данные потока. Однако туннелирование HTTP-трафика через DNS должно быть довольно легко обнаружено из-за различных характеристик объема и времени сеанса каждого протокола.
DDoS более прост и может быть обнаружен с помощью объемной «базовой линии», поскольку типичные атаки очень громкие по своей природе. Тем не менее, чем конкретнее вы получите протокол и тип пакета, тем быстрее и точнее будет обнаружение DDoS-атак.
Наконец, чем больше вы «знаете» о сети, которую отслеживаете, тем лучше вы можете обнаруживать аномалии. Здесь есть несколько очевидных основных принципов, так как DDoS-атаки являются громкими, и большинство протоколов имеют довольно хорошо известные характеристики объема / времени, но изучение того, что типично для вашей сети, - лучший способ уменьшить количество ложных срабатываний.
person
Vince Berk
schedule
22.03.2017