如何发现网络中的僵尸？

最近几天，我收到 ISP 的报告，说有人从我的网络中扫描端口并尝试连接互联网上的 openssh 服务。我认为没有人故意这样做，某些机器已被感染，并且在所有者不知情的情况下这样做。

我正在寻找方法来确定谁的计算机正在从我的网络扫描互联网。我正在使用带有多个无处不在的接入点的 Cisco RV345，我知道我需要分析传出的流量，但我不知道如何在不将机器放在路由器和网络之间的情况下做到这一点——我现在无法做到这一点。

我将非常感激任何建议