我编写了一些异常检测程序来识别系统中的异常流量,但有时会将正常的下载或上传流量检测为异常。有没有办法检查现在是否正在进行下载或上传以减少这种误报?
答案1
我能想到的最好的答案是 nethogs,它需要您提供一些输入才能处理数据!
安装 nethogs (应该在 repo 中)
它的工作原理如下:
nethogs
nethogs eth1
nethogs [option] eth0 eth1
nethogs [option] eth0 eth1 ppp0
sudo /usr/sbin/nethogs eth0
你最终会得到如下结果:
通过这个您将能够识别使用最多上传和下载的 procID。
您还可以识别所有网卡,并看到它们与识别网络控制器一起列出:
下一步我不确定...您可能需要创建一些信息解析器,设置一个 cron 并将其输入到您的异常流量分析器中。
抱歉,这不是一个完整的解决方案,但这是我现在唯一的想法!