[mr-who]

Кто нибудь сталкивался с разбором трафика нетфлоу?

Мне нужен совет, каким образом можно было бы отловить аномальный трафик.

 

Точнее даже лучше найти примеры такого аномального трафика, например broadcast multicast штормы и тому подобное?

[mr-who]

Может поделитесь примерами атак l2/l3

[Sacrament]

В сторону fastnetmon посмотрите.

[QWE]

В 12.11.2018 в 18:17, mr-who сказал:

Может поделитесь примерами атак l2/l3

Что Вы имеете ввиду под примером атаки?

Анализировал в свое время DDOS атаку - трафик шел с 64000 (или с 6400, давно было) АS

пишите все строки netflow в БД

[pavel.odintsov]

А также трафик можно писать модулем traffic persistency от FastNetMon (Clickhouse backed): https://fastnetmon.com/fastnetmon-advanced-traffic-persistency/  

[mr-who]

 

В 14.11.2018 в 23:52, QWE сказал:

Что Вы имеете ввиду под примером атаки?

Анализировал в свое время DDOS атаку - трафик шел с 64000 (или с 6400, давно было) АS

пишите все строки netflow в БД

Сейчас так и настроено. Трафик нетфлоу пишется в ElasticSearch, теперь хочу натравить на это дело Machine Learning, что бы само определяло когда идет атака или аномалия..

[FATHER_FBI]

А что мешает купить уже готовые продукт со всеми нужными плюшками?

[QWE]

В 27.11.2018 в 18:41, mr-who сказал:

 

Сейчас так и настроено. Трафик нетфлоу пишется в ElasticSearch, теперь хочу натравить на это дело Machine Learning, что бы само определяло когда идет атака или аномалия..

вот вам дип лернинг