背景
根据业务需求,对网络流量进行捕获,分析统计网络状况。同时支持异常行为检测,由于异常行为检测分为普通网络异常、恶意攻击两大类,后端采用多引擎分析,需要对流量进行离线存储,分布式检测。
Fprobe介绍
由于需要对流量进行捕获,采用libpcap
库进行底层数据获取。对网络数据流量使用netflow
数据采集,采用现有fprobe
开源解决方案。fprobe
工作流程:
Pcap文件存储
由于fprobe
默认不支持Pcap
数据文件保存。其他工具需要通过pcap
数据文件进行离线分析。需要修改源代码支持pcap
文件保存。通过阅读源代码,发现参数处理在<