大多數(shù)人習(xí)慣于top X：top發(fā)送者，top接收者和top協(xié)議。因此，從本質(zhì)上講，他們正在尋找大象流。雖然這是一種很好的做法，但是老鼠流也非常有趣，因?yàn)樗鼈兺ǔ?huì)隱藏在噪音中。在網(wǎng)絡(luò)安全中，噪聲對(duì)攻擊者而言非常好，因?yàn)樗麄兘?jīng)常試圖將自己隱藏起來(lái)。這是為了逃避安全。許多惡意軟件都以for循環(huán)的方式進(jìn)行編程：執(zhí)行a），執(zhí)行b），執(zhí)行c），然后無(wú)限循環(huán)返回a）。從本質(zhì)上講，這是一種定期活動(dòng)，值得研究（請(qǐng)參閱與此主題類(lèi)似的研究[1個(gè)]，[2]，[?3?]，[?4?]），但是標(biāo)準(zhǔn)的top X分析工具無(wú)法檢測(cè)到它，因此我們需要更復(fù)雜的工具。因此，我們?cè)趎topng中實(shí)現(xiàn)了一項(xiàng)新功能，可以檢測(cè)到此行為和許多其他事情。

為了啟用此功能，您需要ntopng的最新版本（此功能僅在pro / enterprise版開(kāi)發(fā)版本中存在，并將集成到下一個(gè)穩(wěn)定版本中），并啟用相應(yīng)的首選項(xiàng)。

那么您需要重新啟動(dòng)ntopng并等待，直到它檢測(cè)到某些周期性行為。

周期性流量檢測(cè)如何工作

如果流量在一段時(shí)間內(nèi)以指定的頻率有規(guī)律地重復(fù)，則認(rèn)為該流量是周期性的。周期性不是在流量層面上計(jì)算的，因?yàn)榕R時(shí)端口會(huì)危及工作，而是在三元組上計(jì)算周期<L4協(xié)議，IP源，IP目標(biāo)/?SNI>。特別是，SNI與檢測(cè)云服務(wù)上的周期性非常相關(guān)，在云服務(wù)中，相同的SNI由不同的服務(wù)器IP地址提供服務(wù)。為了避免產(chǎn)生太多的噪聲，多播和廣播目標(biāo)IP地址被忽略，因?yàn)樵贚AN中，有許多定期服務(wù)可能會(huì)使網(wǎng)絡(luò)分析員感到困惑。ntopng計(jì)算三元組并根據(jù)流創(chuàng)建時(shí)間確定頻率。有些流的頻率可能是1分鐘，而其他流的頻率是1小時(shí)：ntopng將自動(dòng)檢測(cè)到它，而無(wú)需人們進(jìn)行任何配置。很小的頻率漂移是自動(dòng)處理的，并由ntopng解決。

如果ntopng能夠以穩(wěn)定的頻率觀(guān)察到至少3次，那么一個(gè)三元組就會(huì)被標(biāo)記為具有給定頻率的周期性（即如果頻率是1小時(shí)，你需要等待大約3小時(shí)后ntopng才會(huì)向你報(bào)告任何情況）。為了限制內(nèi)存使用量，ntopng計(jì)入了最多一小時(shí)的周期，但是將來(lái)的版本可以提高此限制，該限制僅用于限制內(nèi)存使用量，而不受算法限制。如果ntopng檢測(cè)到周期性流量，則會(huì)在界面頁(yè)面下的用戶(hù)界面上報(bào)告此信息

如你所見(jiàn)，應(yīng)用協(xié)議、端口和頻率都有報(bào)告。

使用周期性來(lái)檢測(cè)威脅

并不是您對(duì)周期性流量有更多了解，您可能會(huì)想知道這是否只是好奇心？看看下面的這兩個(gè)圖像。

讓我們分析SSH流量以查看發(fā)生了什么。如您所見(jiàn)，ntopng已檢測(cè)到我們非?？梢傻闹芷谛酝ㄐ?。如果您查看SSH端口（其中一些不是標(biāo)準(zhǔn)端口），則尤其如此。他們可以隱藏監(jiān)控應(yīng)用程序或其他某種討厭的行為.

未知的周期性流量也會(huì)帶來(lái)有趣的信息（你也可以做同樣的工作，看看其他協(xié)議，例如IRC，經(jīng)常被惡意軟件使用）是非?？梢傻?。

我們希望您可以使用此新功能在網(wǎng)絡(luò)上找到有趣的見(jiàn)解。我們計(jì)劃通過(guò)警報(bào)對(duì)其進(jìn)行擴(kuò)展，這可以幫助網(wǎng)絡(luò)分析師進(jìn)行深入分析，而不必深入研究周期性數(shù)據(jù)，因?yàn)閷?duì)于一個(gè)大型網(wǎng)絡(luò)來(lái)說(shuō)，這些數(shù)據(jù)可能相當(dāng)龐大。