Estou desenvolvendo um pequeno projeto para detecção de anomalias que indiquem tráfego malicioso em redes.
A ideia é capturar o tráfego em tempo real com um software feito em Go utilizando a biblioteca do Google gopacket (https://github.com/google/gopacket).
Após isso, utilizar o algorítimo de machine learning Isolation Forest para detectar anomalias (outliers) no tráfego que é capturado no formato pcap.
O Isolation Forest é relativamente rápido e simples de lidar, além de ser um algorítimo não-supervisionado, o que facilita muito as coisas.
A motivação para o desenvolvimento é dar maior proteção para clientes em suas redes, que muitas vezes misturam servidores e estações de trabalho.
Mais tarde pretendo implementar ações pró-ativas e reativas na rede de forma autônoma com base nesta detecção de anomalias.
Em mais alguns dias subirei um repositório no Github com o código liberado como opensource. 🙂
Sobre o Autor