实时异常检测包

Question

有没有人知道用于DDOS和隧道的Netflow异常检测的开放源代码？我是这方面的新手。我在github上确实发现很少，但任何人谁有更多的经验，做建议。

我只想尝试一些，以了解它们是如何工作的，所以python语言、r语言或c++语言都可以

Answer 1

有一些很好的资源可以用来摄取各种流格式。更难的部分是进行异常检测。你可以考虑'R'，例如：http://www.ojscurity.com/2014/10/r-netflow-analytics-i.html

在尝试检测隧道时，您需要建立一个或多个可用于“分析”流量的指标。通常，这是基于每个端点、每个协议的。例如，到亚马逊的HTTPS流量看起来与观看NetFlix内容不同。您建立的指标应该使您能够检测给定类型流量的典型模式中的机会。

因此，仅使用流数据可能很难检测到通过HTTPS隧道传输的HTTP流量。但是，由于每个协议的卷和会话计时特征不同，因此通过DNS以隧道方式传输HTTP流量应该非常容易检测。

DDoS更直接，并且可以通过体积“基线”来检测，因为典型的攻击本质上是非常响亮的。尽管如此，您在协议和数据包类型方面获得的越具体，您的DDoS检测就会越快、越准确。

最后，您对正在监控的网络“了解”得越多，就越能更好地发现异常。这里有一些显而易见的首要原则，因为DDoS攻击很响亮，而且大多数协议都具有相当众所周知的卷/计时特征，但了解网络的典型特征是减少误报的最佳方法。