Ourmon:网络监控与异常检测工具全解析
1. 引言
在网络环境中,僵尸网络的检测颇具挑战性。不过,有一款名为Ourmon的工具经过改进后,可通过网络流量分析来检测僵尸网络的存在。它能基于主机间的攻击行为(如拒绝服务攻击或网络扫描)检测网络异常,并将这些信息与IRC通道关联,判断整个通道是否可疑,从而一次性找出大量受感染主机。
1.1 Ourmon简介
Ourmon是一款开源工具,最初用于网络监控,后来被发现也可用于异常检测。它是基于网络的工具,能从企业网络的逻辑中心监测所有主机的状态,可视为统计网络趋势的指标。
1.2 相关资源
以下是下载Ourmon或获取其更多信息的网站:
- http://ourmon.sourceforge.net:Ourmon信息和下载页面
- http://sourceforge.net/projects/ourmon:Ourmon项目页面
- http://ourmon.cat.pdx.edu/ourmon:波特兰州立大学的实时数据页面
- http://ourmon.cat.pdx.edu/ourmon/info.html:Ourmon在线帮助
2. 案例研究
2.1 分布式拒绝服务攻击(DDoS)
Ourmon使用基于Tobias Oetiker的RRDtool系统的图形。其中,pkts过滤器可显示Ourmon系统每秒处理的数据包数量,以及操作系统和收集系统是否丢包。正常情况下,波特兰州立大学网络的每日流量在下午有一个60k pps的峰值。
但在一次DDoS攻击中,数据