Я разрабатываю обнаружение аномалий поведения сети, и я использую протокол NetFlow Cisco для сбора информации о трафике. Я хочу собрать информацию о слое 7 справочной модели ISO OSI, особенно https-протокола. Каков наилучший способ достичь этого?NBAD, Netflow на уровне 7
Может быть, кто-то будет полезно:
На мой взгляд, вы должны попробовать Sflow или Flexible NetFlow.
SFlow использует выборку для достижения масштабируемости. Архитектура системы состоит из приемных устройств, получающих два типа выборок: - случайные пакеты выборки -базис счетчиков выборки через определенные промежутки времени Сэмплированные пакеты отправляются как дейтаграммы sFlow на центральный сервер, на котором выполняется программное обеспечение для анализа и отчетности сетевого трафика, sFlow collector.
SFlow может быть реализован в аппаратном или программном обеспечении, и, хотя название «sFlow» означает, что это технология потока, однако эта технология вообще не протекает и представляет собой изображение передачи на основе образцов.
NetFlow - это настоящая технология потока. Записи для потока, генерируемого в сетевых устройствах, и объединенные в пакеты. Flexible NetFlow позволяет клиентам экспортировать почти все, что проходит через маршрутизатор, включая весь пакет и делать это в режиме реального времени, например sFlow.
На мой взгляд, гибкий NetFlow намного лучше, и если вы боитесь атаки DDoS, выберите его. Если FNF лучше, зачем использовать sFlow? Причина, по которой многие коммутаторы сегодня поддерживают только sFlow, и если у нас нет возможности использовать FNF и вы хотите получить данные в режиме реального времени, sFlow - лучший вариант.
Нет необходимости использовать sFlow только потому, что ваш коммутатор поддерживает это. Существует множество бесплатных экспортеров NetFlow, которые могут быть запущены на хосте в сети или подключены к порту SPAN вашего коммутатора. [FlowTraq предлагает один] (http://www.flowtraq.com/corporate/product/flow-exporter), а также [nProbe] (http://www.ntop.org/products/nprobe/). –