0
누구나 DDOS 및 터널링을위한 Netflow Anomaly 탐지를위한 오픈 소스 코드를 알고 있습니까? 나는이 분야의 초보자이다. 나는 github에 대해 거의 발견하지 못했지만 경험이 많은 사람은 조언합니다.실시간 이상 패키지 검색
그냥 그들이 그렇게 파이썬 또는 R 또는 C++ 언어의 언어를 작동 훌륭한 자원이 다양한 흐름 형식을 섭취 주변에있다
A
답변
0
괜찮 방법을 이해하는 몇 가지를 시도하고 싶다. 더 어려운 부분은 이상 탐지를하는 것입니다. 'R'을 고려해 볼 수 있습니다 (예 : http://www.ojscurity.com/2014/10/r-netflow-analytics-i.html
) 터널링을 탐지하려고 할 때 트래픽을 "프로파일 링"하는 데 사용할 수있는 하나 이상의 메트릭을 설정해야합니다. 일반적으로 이는 엔드 포인트 별, 프로토콜 별 기준입니다. 예를 들어, Amazon의 HTTPS 트래픽은 NetFlix 콘텐츠를 보는 것과 다릅니다. 설정 한 메트릭을 통해 특정 유형의 트래픽에 대한 일반적인 패턴의 가능성을 감지 할 수 있어야합니다.
따라서 흐름 데이터 만 사용하면 HTTPS를 통해 터널링 된 HTTP 트래픽을 감지하기 어려울 수 있습니다. 그러나 DNS를 통한 HTTP 트래픽 터널링은 각 프로토콜의 체적 및 세션 타이밍 특성이 다르기 때문에 쉽게 감지 할 수 있어야합니다.
DDoS는보다 직설적이며 전형적인 공격이 매우 큰 성격을 띠기 때문에 용적 "기준선"에 의해 감지 될 수 있습니다. 프로토콜의 종류와 패킷 유형에 대한 구체적인 정보를 얻을수록 더 빠르고 정확한 DDoS 탐지가 가능합니다.
마지막으로, 모니터링하는 네트워크에 대해 "알고있는"것이 많을수록 예외를 선택할 수 있습니다. DDoS 공격이 크고 대부분의 프로토콜은 상당히 잘 알려진 볼륨/타이밍 특성을 가지고 있지만 네트워크에서 일반적인 것을 학습하는 것이 오탐 (false positive)을 줄이는 가장 좋은 방법입니다.