利用Netflow在大规模网络进行蠕虫和网络异常检测

合集下载

基于netflow的网络攻击分析与检测

基于netflow的网络攻击分析与检测前些年Code Red、SQL Slammer、冲击波、振荡波等蠕虫病毒相继爆发，日益频繁的DOS 攻击与DDOS也让用户大为光火，这些攻击不但对用户主机造成影响，而且对网络的正常运行也构成了严重的危害，会大量占用网络带宽或网络设备系统资源。

这些网络行为上都有某些共同特征，我们可以利用NetFlow的信息筛选出这些数据包，从而快速发现问题。

1.CodeRed病毒分析例1：CodeRed的Flow特征是destination port=80,、packets=3、size=144bytes。

虽然在Internet上，符合上述特性的正常行为是存在的(如使用ICQ)，但是一般正常使用的主机不会在连续几段时间内发出大量的这些报文。

因此监测CodeRed 可采用的方法是:取几个不同时间段，例如每段时间5分钟，如果每个时间段内符合特征的Flow大于上限值，则可以判断为Code Red。

2.Nimda病毒分析例2：感染了Nimda病毒的主机会向外部地址(往往是TCP 80端口)发起大量连接，Nimda 的Flow特征是每个Flow代表一次连接destination port=80的行为，如果普通的客户机在一段时间内(例如5分钟)Flow数量过大，那么很有可能遭受病毒感染或者有其他针对HTTP 的攻击行为。

因此监测Nimda可采用的策略是：取几个不同时间段，每段时间5分钟，如果每个时间段内符合特征的Flow超过上限值，则可以判断为Nimda病毒或其他攻击行为。

另外，如果Apache Http Server感染了Slapper Worm的话，也会产生大量的Http报文。

3.震荡波病毒分析例3：震荡波(Worm.Sasser)的特征是一个IP同时向随机生成的多个IP发起445端口的TCP 连接。

因此检测条件是：相同源IP，大量不同目的IP，目的端口为445，当符合的Flow达到上限值时，则可以认定是振荡波病毒。

Netflow 网络异常流量的监测原理

Netflow 网络异常流量的监测原理Netflow 对网络数据的采集具有大覆盖小成本的明显优势，在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式，却有着明显的不同。

使得这类产品在定位和实现的功能上和传统大IDS／IPS也不一样。

Network Behavior Anomaly Detection（网络行为异常检测）是NetFlow安全的原理基础。

Netflow流量数据只能分析到协议的第四层，只能够分析到IP 地址、协议和端口号，但是受限制于无法进行包的内容分析，这样就无法得到网络中一些病毒、木马行为的报文特征。

它是从网络流量的行为特征的统计数据进行网络异常的判定的。

网络行为的异常很大一方面是对网络基线数据的违背，反应到一个监控网段范围，往往呈现的就是网络流量的激增和突减。

而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式，TCP的流量模型等等来进行判断。

GenieATM对网络异常流量的NBAD的检测具体如下面三点：1.1流量异常(Traffic Anomaly) 侦测流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内（因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型），流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线，再根据网络正常的网络流量模型来动态分析网络中的异常流量，以期最早时间发现网络中流量的激增和突减。

针对不同的网络监测范围，用户可使用定义不同的流量基线模板进行监控。

系统支持自动建立及更新流量基线，也允许管理员手动设定和调整基线的参数和取值期间，并排除某些受异常流量攻击的特定日列入计算，以免影响基线的准确性。

通过参数的设定，系统能根据对网络效能的影响，将网络异常流量的严重性分为多个等级，包括：正常、中度异常(yellow)、高度异常(red)，并允许使用者透过参数设定，对每个检测范围设定合适的参数。

怎样使用NetFlow分析网络异常流量

一、前言近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。

然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁用户主机的安全和正常使用。

本文从互联网运营商的视角，对互联网异常流量的特征进行了深入分析，进而提出如何在网络层面对互联网异常流量采取防护措施，其中重点讲述了NetFlow分析在互联网异常流量防护中的应用及典型案例。

二、NetFlow简介本文对互联网异常流量的特征分析主要基于NetFlow数据，因此首先对NetFlow做简单介绍。

1. NetFlow概念NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

2. NetFlow数据采集针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以便利用各种NetFlow数据分析工具进行进一步的处理。

Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow数据，其它许多厂家也提供类似的采集软件。

下例为利用NFC2.0采集的网络流量数据实例：211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1出于安全原因考虑，本文中出现的IP地址均经过处理。

NetFlow数据也可以在路由器上直接查看，以下为从Cisco GSR路由器采集的数据实例，：gsr #att 2（登录采集NetFlow数据的GSR 2槽板卡）LC-Slot2>sh ip cache flowSrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP PktsGi2/1219.*.*.229PO4/2217.*.*.22806 09CB 168D 2Gi2/161.*.*.23Null63.*.*.246110426 059A 1本文中的NetFlow数据分析均基于NFC采集的网络流量数据，针对路由器直接输出的Neflow数据，也可以采用类似方法分析。

【豆丁-精品】-采用Netflow数据的典型异常流量检测方法

第38卷增刊电子科技大学学报 V ol.38 Suppl2009年11月 Journalof University of Electronic Science and Technology of China Nov. 2009 采用Netflow 数据的典型异常流量检测方法田杨，王宏，陈晓梅(国防科技大学计算机学院长沙 410073)【摘要】基于Netflow 数据提出了根据流量特征进行异常检测的方法；分析了造成异常流量的DDoS 和端口扫描的流量特征两种网络攻击行为；并根据其特征进行用户可控的实时异常流量检测，给出告警，报告异常的时空坐标。

用户可以调整自己的参数设置，在计算时间和空间上平衡自己的参数，得到满意的结果。

采用Web 形式和CS 架构模式进行异常监控的实时显示，用户可以实时地在任何连接到服务器的主机设置参数和查看检测结果。

关键词 DdoS; 流量特征; netflow; 端口扫描; 实时检测中图分类号 TP393 文献标识码 A doi:10.3969/j.issn.1001-0548.2009.z1.009Typical Traffic Abnormal Detection Based on NetflowTIAN Yang, WANG Hong, and CHEN Xiao-mei(School of Computer, National University of Defence Technology Changsha 410073)Abstract The paper presents a method based on Netflow data and flow’s character to detect abnormal activities in the network. Two behaviors which induce abnormal activities: the properties of DDoS and port scan’s flows are analyzed. And abnormal flows in real time according to the user’s setup is detected, then alert the user and show the abnormal activities coordinates of the time-space. User can balance the time and space’s parameters to get satisfactory result. The CS model on Web is used to detect abnormal flows in real time, the users who connect to the server can setup the parameters and get the result.Key words DDoS; flow character; netflow; port scaning; real time detecting收稿日期： 2009 − 09 − 15作者简介：田杨(1983 − )，男，硕士，主要从事计算机网络安全方面的研究.网络异常流量是指网络的流量行为偏离其正常行为的情形，引起网络流量异常的原因很多，如网络设备的软硬件异常、网络操作异常、闪现拥挤(flash crowd)、网络攻击行为等。

利用NETFLOW技术构建互联网异常监测及应用分析系统

利用NETFLOW技术构建互联网异常监测及应用分析系统滕云
【期刊名称】《广西质量监督导报》
【年(卷),期】2008(000)002
【摘要】随着互联网的不断普及,网络已经跟人们的日常生活密不可分,使用者在享受网络所带来的便利的同时,网络上的许多问题也陆续衍生而出,运营商网络正面临着日益严重的安全威胁.作为网络管理者,如何迅速有效地监测网络异常情况,同时准确地掌握整个网络的业务流量模型,以供市场部门作决策分析,巴成为一项重要的课题.文介绍利用NETFLOW技术,构建网络异常监测及应用分析系统,利用本系统可随时监测网络运行情况,以达到网络稳定顺畅运作及节省经费、人力之目的.
【总页数】3页(P60-62)
【作者】滕云
【作者单位】桂林电子科技大学,广西,桂林,541004
【正文语种】中文
【中图分类】TP3
【相关文献】
1.互联网异常流量的Netflow分析 [J], 曹铮
2.利用NETFLOW技术实现网络流量监测 [J], 贾冠昕
3.基于Netflow的局域网流量异常检测系统的设计与实现 [J], 王珣
4.一个基于NetFlow的异常流量检测与防护系统 [J], 肖志新;杨岳湘;杨霖
5.基于NetFlow的异常流量检测系统的研究 [J], 王鑫;卜范玉
因版权原因，仅展示原文概要，查看原文内容请购买。

基于NetFlow的网络入侵检测系统

中，有的存在高误警（误报、漏报）有的不能适应特定网络应率；
用环境的需求。本文利用现有设备和一些特殊的低成本硬件设计了一个不会影响高速网络性能的网络入侵检测系统，通过对ＮｔｌｅｏＦｗ数据的分析来发现攻击和入侵行为并作出响应去拦截网络入侵。本文并不试图检测到所有的异常入侵，只是重点关注ＤＳＤｏ、ｏ、ＤＳ网络蠕虫等一些在攻击和入侵时会发送大量包或连接的异常入侵类型。
黄艳李家滨
上海２０３）０００（上海交通大学计算机科学与工程系上海２０３）（南昌陆军学院科学文化教研室江西南昌３００）０００３１３（上海交通大学网络信息中心
摘
要
提出了一个基于ＮｔｌｅｏＦｗ的网络入侵检测系统。系统能基于从路由器或其它采集器输出的ＮｔｌｅｏＦｗ数据检测出几种类
１引言
如今网络攻击和入侵事件与日俱增，使得网络安全问题成为急需解决的问题。当前使用的主流网络入侵检测系统（Ｄ）ＩＳ
能。但与ｓｌＦｏ同，ｅｌｗ不Ｎｔｏ术比较好地改进了以往查找和Ｆｗ技处理网络异常流量时效率低、网络设备的性能影响大、对数据不易采集等不利因素。它并不分析网络中每一个数据包中的具体信息，只是对传送的数据流的特性进行检测，就确保了它有着这极大的规模可扩展性，更加适合大型高速网络。
ｔｅｅｔｐｓｏｅｗｏｋａｔｃ．ｈｓｅｆｎｔｒｔｋｙａＫｅｗｏｄｙｒｓＮｅＦｏＩｔｓｎｄｔｃｉｎＡｎｍａｙｆｗｔｌｗｎｒｉｅｅｔｕｏｏｏｌｏｌ

基于NetFlow流量行为分析的网络异常检测

１引言、
行为模式簇质心集合｛ｌ上中找不到与相近的模式，ｆ１ｉ｝即
随着网络技术的不断发展和网络规模的不断扩大，网络入侵的Ｄｉ（，）ｓＸ，相对较大。ｔ机会也越来越多，络安全已经成为一个全球性的重要问题．网网在络安全问题日益突出的今天，何迅速、效地发现各类新的入侵如有３异常检测算法，网络流量中不同协议的流密度分布可以描述网络行为，网络行行为，保证系统和网络资源的安全显得十分重要。对于本文提出了… 种新的基于ＮｅＦｏｔｌｗ流量分析的网络异常检测为问的距离可以描述不同网络行为之间的区别，本文用关联度来描方法，利用Ｃｓｏ司开发的ＮｅＦｏ它ｉ公ｃｔｌｗ交换协议提高了采集数据述不同网络行为之间的区别，法如下：算的性能，立了具有自适应性的网络流量正常行为模式，关联度建用设有两个网络行为和，则其间的关联度定义为，算法ＸＮｔｌｗ流量数据的网络行为分布进行分析，而发现异常ｉ，ｅＦｏ从的网络数据流。
ｓ（）Ａ／ｘ（）ｍ＋３ｉ￣ｎ２
式中△ （）Ｉｉ）Ｘ（），Ｎ（）七＝Ｘ（一ｊＪ１七ｋ３
Ａ＝ｍａ｛１Ａ（）．Ｊ）ｘＡ（，２，（｝）Ａ Ⅳ
Ａ＝ｍｉ｛１ △ （）Ａ（｝ … ｎ分辨系数，取ｐ＝．一般０５设待检测的网络行为和根据定义４计算得到的正常网络行为模式，根据（）１式可得ＸｌＸ与的关联度。根据实验统计，。在正常情况下一个网络中的正常网络行为与的关联度在较小的范围

基于NetFlow网络异常流量报警处理机制的研究

第２５卷第５期（０９２０）
河西学院学报
Ｖ１５Ｎｏ５（０９ｏ．．２０）２
基于Ｎｅｌｗ网络异常流量报警处理机制的研究ｔｏＦ
唐永中张
张掖
蕾
７４０）３００
（河西学院网络中心，甘肃摘
要：本文基于Ｎｅｌｗ流量处理技术，从分析ＮｔＩｔｏＦｅｏＦｗ数据流关键信息出发，提出了一种网络异常流量
ｎＤＳ及ＤＤＳ攻击ｏｏ
目前，网络攻击的形式和方法千变万化，其中拒绝服务ＤＳＤｎｆｏＳ￣ｉ）】ｏ（ｅｉｆｅｃ【攻击是利用网络协议等存在的安全缺ｌｅ２
陷或漏洞，消耗被攻击对象的资源，使计算机或网络无法提供正常的服务．由于现在的计算机处理能力迅速增，内存容量大大增加，同时出现了千兆级别的网络，单靠一台计算机实施ＤＳ攻击是无法达到攻击效果的，这就出现了分布式拒Ｏ
中图分类号：Ｔ３３８Ｐ９．０文献标识码：Ａ文章编号：１７６２— ０２２０）０５０（０９５— ０７０３— ０４
随着互联网技术的迅速发展，网络已由传统单一的网络变成了复杂异构的网络．因此对这种复杂网络的维护、管理、
网络拥塞控制、网络服务质量保证等等，都提出了更高的要求．特别是面对网络攻击、网络病毒的泛滥，以及刚络故障的时常发生，如何有效地进行管理和维护网络正常运行，是网络流量工程面临的重要问题．

基于NetFlow的网络异常流量检测

基于NetFlow的网络异常流量检测
曾嘉;金跃辉;叶小卫
【期刊名称】《网络新媒体技术》
【年(卷),期】2007(028)007
【摘要】NetFlow可以提供网络中IP流的信息.这些流的信息有多种用途,包括网管、网络规划、ISP计费等.在网络安全领域,NetFlow提供的IP流信息可以用来分析网络中的异常流量,这是对现有的基于特征的NIDS的很好的补充.本文介绍了NetFlow-based Anomaly Traffic Analyzer,一个基于NetFlow的网络异常流量检测系统,并通过一些实验证明了该系统的有效性.
【总页数】5页(P709-713)
【作者】曾嘉;金跃辉;叶小卫
【作者单位】北京邮电大学,网络与交换国家重点实验室,北京,100876;北京邮电大学,网络与交换国家重点实验室,北京,100876;北京邮电大学,网络与交换国家重点实验室,北京,100876
【正文语种】中文
【中图分类】TN91
【相关文献】
1.基于NetFlow网络异常流量报警处理机制的研究 [J], 唐永中;张蕾
2.基于NetFlow流量行为分析的网络异常检测 [J], 马华林
3.基于NetFlow流量行为分析的网络异常检测 [J], 马华林
4.基于NetFlow时间序列的网络异常检测 [J], 贾冠昕;杨波;陈贞翔;彭立志
5.基于地震前兆观测系统流量检测的网络异常行为分析\r——评《网络流量的异常检测监控方法及相关技术研究》 [J], 王小英;刘庆杰;高方平
因版权原因，仅展示原文概要，查看原文内容请购买。

NetFlow数据处理与异常检测研究的开题报告

NetFlow数据处理与异常检测研究的开题报告一、研究背景和意义近年来，随着互联网的快速发展和普及，网络安全问题日益引起人们的关注。

其中，网络流量分析技术是网络安全领域中不可或缺的一部分。

而NetFlow技术以其高效、快速、准确等特点成为了一种重要的网络流量分析技术。

NetFlow是思科公司提出的一种网络流量分析技术，它可以捕获网络中的数据流，并将其转化为流量数据。

利用NetFlow技术，可以对网络流量进行分析、统计、监控等，从而帮助网络管理员及时发现潜在的网络安全问题。

随着互联网的不断发展和应用范围的扩大，网络流量日益复杂多样，网络攻击手段也越来越多样化和隐蔽化。

因此，为了进一步提高网络安全防护能力，需要对NetFlow数据进行深入研究和分析，以实现对异常流量的检测和预防。

本研究旨在对NetFlow数据进行处理和分析，开发一种NetFlow异常检测算法，提高网络安全防护能力。

二、研究内容和方法（一）研究内容本研究的主要内容包括：1. NetFlow数据处理：对原始NetFlow数据进行预处理，包括数据清洗、去重、格式化等操作，以方便后续的分析和处理。

2. 特征提取：利用机器学习等技术，对处理后的NetFlow数据进行特征提取，提取出能够反映流量特征的多种指标信息。

3. 异常检测：根据NetFlow数据的特征信息，设计一种能够有效检测网络异常流量的算法。

4. 系统实现：将上述处理过程和算法实现为一个完整的系统，方便用户对网络流量分析和异常检测。

（二）研究方法本研究采用以下研究方法：1. NetFlow数据处理：利用Python等编程语言，对原始NetFlow数据进行清洗、去重、格式化等处理，提高数据处理效率和准确性。

2. 特征提取：运用机器学习等技术，对NetFlow数据进行特征工程，提取出多种具有代表性的指标。

3. 异常检测：基于机器学习、数据挖掘等相关技术设计出一种有效的异常检测算法，对NetFlow数据进行分析和处理。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

利用Netflow在大规模网络进行蠕虫和网络异常行为监测
yiming@
宫一鸣
中盈优创资讯系统有限责任公司
July 2004

提纲
电信网安全特性 netflow? Netflow和电信带宽安全
如何预警和监控
中盈 netflow在电信的应用

电信网的安全特性
电信网核心竞争力
带宽资源
带宽资源面临
蠕虫网络滥用 DoS/DDoS

电信网的安全特性
如何保护和监控
防火墙？部署问题，侧重于点而非面 IDS ？ IDS工作在7层，海量数据需要详细的信息？

电信网的安全特性
如何保护和监控
Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.

Netflow是?
Flow是由7个关键字段标识的两个通讯终端间单方向的网络连接[IPsrc, IPdst, srcPort, dstPort, protocol, TOS, Ifindex] 一次telnet~~

Netflow是?
每当路由器端口上收到一个数据包，都会扫描这7个字段来判断此数据包是否属于一个已经存在的flow: YES, FLOW COUNTED NO， NEW FLOW CREATED 在新的flow不断生成的同时,cache内过期的flow记录以 UDP方式导出

Netflow 版本
主流的路由器厂家Cisco、Juniper、Extreme 路由设备上支持并在研发自己版本的 netflow 技术版本五的netflow输出（V5）是最常见的，并被广泛支持。

对V5版本而言，每个从路由器上送到接收主机的UDP报文中包含1个 flow包头和30条flow纪录每个flow纪录都包含如下的主要字段：源地址、目的地址、下一跳地址、路由器输入输出ifindex、flow中的数据包数、flow中的总字节大小、源地址目的端口、协议类型、ToS、源和目的AS号，TCP标志位 (Cumulative OR of TCP flags)。

一条flow记录样本
index: 0xc1a11 router: 202.102.224.1 src IP: 218.30.254.55 dst IP: 202.102.224.136 input ifIndex: 8 output ifIndex: 22 src port: 12052 dst port: 80 pkts: 6 bytes: 680 IP nexthop: 202.102.224.130 start time: Mon Jun 21 11:29:22 2004 end time: Mon Jun 21 11:29:25 2002 protocol: 6 tos: 0x0 src AS: 0 dst AS: 371 src masklen: 20 dst masklen: 0 TCP flags: 0x1b engine type: 1 engine id: 0

Netflow工作架构
结果输出
Netflow 源设备
Flow 收集器
Flow 分析器
统计查询

Netflow和电信带宽安全如何利用netflow预警和监控
我们提出如下方法：
Top N
模式匹配
TCP 标志位
ICMP
基线
TopN模式
取flow记录中排名前N位
TopN session
单个主机对单个或多个目标主机发出超出正常数量的连接请求大规模蠕虫爆发、DoS/DDoS攻击、网络滥用
TopN transfer data amount
在一个时间段内，在两个网络主机间、或单个主机对多个目标主机间持续产生了的大量数据
蠕虫，DoS/DDoS
实现
模式匹配
每一种攻击通常有特定模式，因此可以过滤netflow分析端口匹配
sql slammer的攻击是针对UDP端口1434端口的，那么管理员
就可以在netflow输出文件中的flow记录中过滤出目的端口地址
等于1434
地址匹配
W32/Netsky.c 蠕虫发作时会向如下dns主机发出解析请求：
145.253.2.171,151.189.13.35,193.141.40.42,193.189.244.20
5,193.193.144.12,193.193.158.10,194.25.2.129等等
实现
TCP 标志位
三次握手
hosta首先发起一个SYN 标志位的TCP报文给hostb hostb反馈SYN/ACK ，确认收到
hosta主机确认(ACK)hostb的SYN/ACK报文
连接建立
如果hosta连接hostb的非服务端口，hostb会回送RST/ACK报文。

TCP标志位
从V5 netflow角度看
注意每一条flow的TCP标志位都是单向流量
TCP flags合集－cumulative OR
对正常建立连接的TCP来说，TCP标志位是不单一的，
e.g. ACK/SYN/FIN
对于蠕虫，或者基于TCP SYN的DoS攻击来讲，情况有所不同
TCP标志位
蠕虫的特性
自我复制
->发作期内扫描大量的IP地址来寻找目标
->通常目标主机的地址是蠕虫随机生成
如果基于TCP传播（大部分）
发出大量的TCP SYN报文进行相应服务的漏洞探测
TCP标志位蠕虫探测的三种情况
被扫描的目标存活且提供相应服务目标不存活的
目标存活但没有提供相应服务
TCP标志位
检测蠕虫和DoS
感染蠕虫<-->大量的单一TCP SYN标志位flow记录通过检查最为活跃的目标端口，进行行为判断
TCP标志位更多的
TCP RST
…
ICMP
模式匹配
以ICMP进行传播探测或攻击的
W32/Nicha.Worm蠕虫，定长的92byte ICMP报文,
过滤flow记录中的flow字节大小，定位感染主机
SMURF…
基线
基于历史和统计数据
建模
域值
直观
中盈netflow在电信的应用支持北方电信9省骨干
安全事件诊断
-->安全应急响应
流量分析
中盈netflow在电信的应用追查垃圾邮件
过滤25端口的flow记录
# IPaddr flows octets packets
219.147.208.2 144 11192 144
61.223.156.154 1 1491 1
218.244.196.28 1 40 1
218.246.189.34 1 41 1
69.56.49.220 1 80 1
219.147.200.189 1 80 1
中盈netflow在电信的应用
61.236.123.225感染了
w32.gaobot.sa蠕虫，在扫描
MYDoom后门端口3127，Bagle 后门端口2745，以及
Dameware端口6129
219.150.98.151感染了
w32.hllw.deadhat蠕虫，在扫
描TCP端口3127, 3128, 1080,
10080
211.157.101.25可能在crack口令或者扫描弱口令ftp服务器 below is potential host1: 61.236.123.225 ------
84 times on port 1025
76 times on port 80
72 times on port 2745
64 times on port 3127
48 times on port 6129
below is potential host2: 219.150.98.151 ------
164 times on port 3127
28 times on port 80
20 times on port 10080
16 times on port 3128
8 times on port 1080
below is potential host7: 211.157.101.25 ------
77 times on port 21
1 times on port 1427
电信骨干网安全电信网large scale / high speed
不能单纯依靠产品或某项技术
全面解决方案?
动态持续
Q & A ?。