Jak obliczyć pobieranie lub przesyłanie danych w systemie Linux

1

Napisałem jakiś program do wykrywania anomalii, który rozpoznaje nieprawidłowy ruch w systemie, ale czasami wykrywa normalne pobieranie lub przesyłanie ruchu jako nieprawidłowe. Czy istnieje sposób sprawdzenia, czy pobieranie lub przesyłanie jest w toku, czy też nie, aby zmniejszyć ten fałszywy wynik?

linux networking download upload Mjina
źródło
1
askubuntu.com/questions/257263/… spróbuj to może pomóc
Premkumar
Czy możesz pokazać nam, jak do tego podszedłeś?
Pogrindis
@Pogrindis: Użyłem algorytmu knn dla danych zawierających 3 parametry: procesor, (ruch sieciowy) transmitowane bajty i odebrane bajty
Mjina
@Mjina i jaka jest twoja definicja nieprawidłowego ruchu? czy mógłbyś zidentyfikować czas pracy procesu pobierania / przesyłania?
Pogrindis
@Pogrindis: Używam knn jako metody uczenia maszynowego, więc będzie trenowana z normalnymi danymi i nieprawidłowymi danymi, a następnie oczekuje się wykrycia nieprawidłowości, problem polega na tym, że pobieranie i przesyłanie są czasami tak szybkie, że przypominają atak taki jak DoS, który zwiększyć wskaźniki ruchu. Twoje drugie pytanie jest tym, czego szukam, jak rozpoznać proces pobierania / przesyłania ?!
Mjina

Odpowiedzi:

1

Najlepszą odpowiedzią, o której mogę pomyśleć i która będzie wymagała od ciebie pewnego wkładu, aby pracować z danymi, są nethogowie!

Zainstaluj nethogi (powinno być w repo)

I będzie działać tak: 

nethogs
nethogs eth1
nethogs [option] eth0 eth1
nethogs [option] eth0 eth1 ppp0
sudo /usr/sbin/nethogs eth0

Skończysz z czymś takim:

Nethogs output

Dzięki temu będziesz w stanie zidentyfikować identyfikator procID, który używa najbardziej upload i download ..

Możesz również zidentyfikować wszystkie elementy i zobaczyć je jako jeden z identyfikatorem kontrolera sieciowego: enter image description here

Następnym krokiem jest sytuacja, w której nie jestem pewien ... Może zajść potrzeba utworzenia parsera informacji, ustawienia crona i przesłania go do anormalnego analizatora ruchu.

Niestety nie jest to kompletne rozwiązanie, ale jest to jedyny pomysł, jaki mam teraz!

Pogrindis
źródło
czy można uruchomić go zdalnie w systemie? Nie znalazłem tej możliwości na stronie man.
Mjina