20210309 -
一般來說,通過ids來監測一些攻擊流量,或者說惡意流量也是可以的;但是現在看到的這個開源軟體[1]是專門利用ioc來識別惡意流量;具體細節我沒有深入去研究,例如流量捕獲部分到底是什麼引擎來啟動的。
在其github主頁上的介紹來看,該系統的定位是惡意流量監測系統,而其實現的方法就是利用一些開源的情報,來作為ioc,同時自己部署流量探針來實現監測。
從他列舉的一些資訊來看,能夠檢視這些內容:
他前文中也提到,主要是通過一些指紋或者什麼東西作為資料來源。
因為沒有具體部署這個系統,在介面中看到了可以使用docker部署,應該部署起來也比較方便;這裡簡單列舉幾個閱讀時的思考。
1)資訊源的獲取
官網中說明,可以獲取到很多資訊源:
這些資訊源是否為免費的,而且更新頻率怎麼樣。之前部署suricata的時候,可能我僅僅使用了免費的資訊源,導致整體的檢測可能不夠好。
2)流量探針
在部署教程的部分,提到如果是使用python部署的話,需要安裝pcapy庫,這個庫必然對於大流量的場景來說,是沒有什麼意義的。也就是說,如果想處理比較大的流量,希望擁有這個功能,肯定是要用別的探針。那麼是不是說可以將這個資訊源獲取的功能給剝取出來,然後應用到已有的探針上,甚至於,已有的ids上,當然,可能已有的ids有的也會整合這些功能。
這種情況的話,就必須要嘗試檢視原始碼大致邏輯了,同時還得看看要新移植的地方,他是否支援這種規則。
3)docker部署
如果是小的流量場景,那麼採用docker部署的話,是不是能夠將網絡卡帶進去,當然這個就不屬於這個系統的問題了,屬於docker的問題,之前的時候就思考過這個問題,是不是能夠將網絡卡的這部分功能帶進去,我感覺問題應該不大。
但是這樣的效能損耗大不大?按說,網絡卡應該是作為乙個文字塊的裝置給直接帶進去的,中間是否新增了一層類似管道的東西呢?這個有機會好好考慮。
[1]stamparm/maltrail
雲南 生態流量監測
根據水利辦水電函1378號檔案 小水電站生態流量監管平台技術指導意見的要求 我司7月份完成在雲南省麗江市的水電站生態流量監測建設,並部署生態流量管理系統,促進水利局對水電站生態排水的監管,確保下游生態水環境的保護。同時將資料共享麗江市監管平台,為雲南 數字水利 大資料布局提供依據。1 採用雷達流量計...
下洩生態流量監測 下洩生態流量監控裝置
下洩生態流量,水庫執行出庫流量,包含發電流量 溢洪道洩洪流量等 生態流量下洩不足水生態環境惡化影響正常生態功能和群眾的生產 生活。因此水電站 水庫下洩生態流量監測至關重要。計訊物聯資料採集傳輸終端 ts910 排水量 水質等目標資訊採集,並利用 資料採集傳輸終端下洩生態流量自動監測 感知層 水位計 ...
網路流量監測與管理
網路流量監測與管理 目次 一 簡介1 二 網路基礎 1 一 osi 參考模型 1 二 snmp 介紹.2 1.snmp 概述.22.snmp 工作原理 33.mib 介紹.44.網管系統之簡介 45.mib 相關工具 5三 netflow 5 一 netflow 簡介.5 netflow versi...