12、Ourmon：网络监控与异常检测工具全解析

Ourmon：网络监控与异常检测工具全解析

1. 引言

在网络环境中，僵尸网络的检测颇具挑战性。不过，有一款名为Ourmon的工具经过改进后，可通过网络流量分析来检测僵尸网络的存在。它能基于主机间的攻击行为（如拒绝服务攻击或网络扫描）检测网络异常，并将这些信息与IRC通道关联，判断整个通道是否可疑，从而一次性找出大量受感染主机。

1.1 Ourmon简介

Ourmon是一款开源工具，最初用于网络监控，后来被发现也可用于异常检测。它是基于网络的工具，能从企业网络的逻辑中心监测所有主机的状态，可视为统计网络趋势的指标。

1.2 相关资源

以下是下载Ourmon或获取其更多信息的网站：
- http://ourmon.sourceforge.net：Ourmon信息和下载页面
- http://sourceforge.net/projects/ourmon：Ourmon项目页面
- http://ourmon.cat.pdx.edu/ourmon：波特兰州立大学的实时数据页面
- http://ourmon.cat.pdx.edu/ourmon/info.html：Ourmon在线帮助

2. 案例研究

2.1 分布式拒绝服务攻击（DDoS）

Ourmon使用基于Tobias Oetiker的RRDtool系统的图形。其中，pkts过滤器可显示Ourmon系统每秒处理的数据包数量，以及操作系统和收集系统是否丢包。正常情况下，波特兰州立大学网络的每日流量在下午有一个60k pps的峰值。

但在一次DDoS攻击中，数据