Я написал несколько программ обнаружения аномалий, которые распознают ненормальный трафик в системе, но иногда он обнаруживает нормальный трафик загрузки или выгрузки как ненормальный. Есть ли способ проверить, идет ли загрузка или выгрузка сейчас или нет, чтобы уменьшить этот ложный положительный результат?
1 ответ
1
Лучший ответ, который я могу придумать, и он потребует от вас некоторой информации для работы с данными, это nethogs!
Установите nethogs (должен быть в репо)
И это будет работать так:
nethogs
nethogs eth1
nethogs [option] eth0 eth1
nethogs [option] eth0 eth1 ppp0
sudo /usr/sbin/nethogs eth0
Вы получите что-то вроде этого:
При этом вы сможете идентифицировать procID, который использует наибольшее количество загрузок и загрузок.
Вы также можете идентифицировать все сетевые адаптеры и видеть их в списке с идентификатором сетевого контроллера: 
Следующий шаг, где я не уверен ... Возможно, вам понадобится создать какой-то анализатор информации, настроить cron и вставить его в ваш аномальный анализатор трафика.
Извините, это не полное решение, но это единственная идея, которая у меня есть сейчас!