开源流量分析系统 Apache Spot 概述

Apache Spot 是一个基于网络流量和数据包分析,通过独特的机器学习方法,发现潜在安全威胁和未知网络攻击能力的开源方案。Apache Spot 利用开源且被优化过的解码器接入二进制网络流量数据和数据包,利用机器学习的方法(主要是LDA 算法)从网络流量中分离出可疑流量,以及特征化独特的网络流量行为。经过上下文增强、噪声过滤、白名单和启发式算法等等一系列手段,最终产生少量且准确的安全威胁事件呈现给用户。

用docker+elastic打造属于自己的网络探针

网络探针,就是一个用于捕获、分析网络数据包的组件。目前有一些捕获、分析网络数据包的开源组件,比如Yaf、bro、packetbeat等,但是这些组件的核心在于流量的采集,而流量日志的存储、界面展示则没有。所以我们会希望拥有自己的网络探针,捕获、分析数据包,并以界面的形式展示查询。这篇文章告诉你如何用docker打造你专属的网络探针。