悪用の報告件数を減らすために、ネットワーク内部から外部リソースへのポートスキャンやDoSタイプのアクティビティをブロックする方法を探しています。
ソースまたはターゲットごとに接続数を追跡するためのiptablesまたはSnort / Suricataのための多くのツールがあることを知っていますが、同時に両方を実行する方法が見つかりませんでした。たとえば、特定のホストがインターネット上のさまざまなホストに50のアウトバウンドポート80接続を作成している場合、これは通常のアクティビティである可能性がありますが、その50の接続が短時間で特定のホストに送信される場合、これは通常のアクティビティではありません。 。 。
以前にこの問題が発生し、進行方法に関する提案がある人はいますか?
ありがとうございます!