Quali strumenti o tecniche gratuiti esistono per scoprire anomalie nei flussi di rete?

OSSIM ha una scheda Anomalie che utilizza Ntop e può essere configurata con dati simili.

Quando ho fatto queste cose in passato, ho usato Ourmon.

WireShark è uno strumento gratuito che puoi utilizzare per monitorare il traffico di rete. Ottimo strumento per vedere se un keylogger nascosto sta tentando di inviare e-mail e / o registri FTP perché di solito ha l'indirizzo e la password nel log wireshark.

Ho appena visto un discorso a Shmoocon sugli YaF e SiLK strumenti che sembravano davvero buoni. YaF è un collettore di flusso (che può raccogliere anche altri dati interessanti) e SiLK è un pacchetto di analisi per loro. C'è anche una bella GUI chiamata iSiLK.