Progetto Rymarchuk - Brugnano - Zocco: Aggiunta della feature "Rare/Unusual Domain Flow Check" a ntopng #277
Comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
{{ message }}
Il progetto consiste nell'aggiunta di una feature a ntopng relativa alla issue #6416 . La feature consiste di implementare il controllo ( check ) delle comunicazione verso le destinazione rare all'interno di una istanza ntop, e nel caso di un esito positivo lanciare un alert. Per definire se una destinazione è rara o meno il check deve svolgere un periodo di apprendimento ( per ogni host istanziato ).
L'algoritmo consiste nella fase di apprendimento delle abitudini del host e successivamente in una correzione dinamica per togliere le destinazioni che non vengono contattati da tanto tempo ( dopo un
xtempo che identifica una epoca ) . Utilizziamo lendpi_bitmapcome strutture dati per contenere le informazioni relative alle destinazioni abituali degli host. Se un nuovo flow avviene verso una destinazione che non è presente nella bitmap allora viene lanciato un alert.The text was updated successfully, but these errors were encountered: