Здравствуй, Хабр! Уже как 4 года я веду свой небольшой pet-проект в области netflow и его практического применения, и вот сейчас я решил поделиться своими результатами. Эта история началась снежным московским днём, когда один уважаемый коллега поделился следующий новостью: ребята прочитали научную публикацию о поиске аномалий в трафике по netflow с помощью ML, провели свои эксперименты и написали статью на Хабр. У обеих работ были схожие выводы: определённые вредоносные воздействия, такие как DDoS или сканирования, обнаруживаются с весьма высокой точностью, но что-то менее "грубое" обнаружить уже сложно. Ребята, благодарю вас, что вы мне рассказали про данные штуки! Это стало отправной точкой для моего исследования.
Можно ли не поднимаясь выше транспортного уровня ЭМВОС по данным netflow в сетевом трафике обнаруживать работу определённого приложения, ВПО или применение инструментов redteam? Да, можно! Но есть нюансы. Что у меня получилось будет изложено в этой статье.
Замысел
Прочитав результаты труда коллег я пришёл к выводу, что полей протоколов NetFlow V5 и V9 недостаточно, чтобы обучить хорошую ML-модель на обнаружение сетевых функций приложений, т.е. признаков, что протоколы NetFlow предлагают, мало. Тут было принято решение писать свой движок netflow, в котором основной упор будет сделан на максимальное количество признаков для потока сетевого трафика. При этом я заранее принял, что меня больше интересуют признаки и возможности их обработки, чем оптимизация получения этих данных.
Первой проблемой стало выделение из трафика конкретных потоков, которые будут соответствовать искомому приложению. Основной целью является получить 1 информационный объект на 1 запуск приложения или его функции. Давайте посмотрим на какой-либо сетевой трафик через Wireshark.
Мы видим фреймы, которые имеют своё время появления, размер, источник, назначение и полезную нагрузку. По источнику и назначению фреймы можно связать друг с другом и выделить направления (прямое или обратное) и идентифицировать по адресам (IP) и портам (TCP/UDP). Отсюда появляются идентификационные данные с помощью которых порции данных в определённом промежутке времени можно объединить в поток (flow). Максимально точное разделение трафика на потоки будет при идентификации src:ip:port <-> dst:ip:port. Хотя можно делить иначе, или даже не делить вовсе:
src:ip:port <-> dst:ip:port, сессии клиента на API/сервисы;
src:ip <-> dst:ip, узел клиента на узел сервиса (все API объединяются в 1 поток);
scr:port <-> dst:port, порт клиента на порт сервиса (будет склейка при коллизии портов);
src:ip:port <-> dst:ip, сессия клиента на узлу;
src:ip <-> dst:ip:port, поток клиентского узла к сервису на узле;
src:ip:port <-> dst:port, поток сессии клиента к абстрактному сервису;
src:port <-> dst:ip:port, поток клиентского порта к сервису на узле;
src:ip:port <-> *, сессия клиента к мультисервису (общий профиль сессии клиента);
* <-> dst:ip:port, мультиклиент к сервису на узле (вероятно, для обнаружения DDoS);
src:ip <-> dst:port, поток клиентского узла к абстрактному сервису;
src:port <-> dst:ip, поток клиентского порта к узлу;
src:ip <-> *, узел клиента к мультисервису (общий профиль клиента);
* <-> dst:ip, мультиклиент к узлу (вероятно, для обнаружения DDoS);
scr:port <-> *, порт клиента к мультисервису (общий профиль клиентского порта);
* <-> dst:port, мультиклиент на сервис (вероятно, для обнаружения DDoS);
*, весь трафик собираем в 1 поток.
Не все из них имеют практический смысл, но его можно попробовать поискать на досуге. На практике я исследовал только первые 2 по списку. Также мы принимаем, что работать будем с TCP/IP и UDP/IP.
Хорошо, мы определили, как будем выделять потоки. Но какие будем рассчитывать параметры? Для каждой порции данных мы можем определить:
Длина пакета в байтах;
Длина нагрузки пакета в байтах;
Степень наполненности пакета относительно максимальной;
Энтропия нагрузки пакета;
Межпакетный интервал времени;
Межпакетный интервал времени (между пакетами через 1 и более);
Межпакетный интервал по размеру нагрузки в байтах;
Межпакетный интервал по размеру нагрузки в байтах (между пакетами через 1 и более);
Флагов TCP на пакет.
А теперь самое важное: чтобы работать с данными параметрами в рамках потока, примем их за случайные величины, для которых можно вычислять следующие характеристики:
Минимальное значение;
Максимальное значение;
Разброс значений;
Среднее арифметическое;
Среднее геометрическое;
Среднее гармоническое;
Среднее квадратическое;
Математическое ожидание;
Дисперсия;
Стандартное отклонение;
Вероятность появления минимальной величины;
Вероятность появления максимальной величины;
Коэффициент асимметрии;
Коэффициент эксцесса.
И всё это можно считать для всего потока, для прямого и для обратного направления. Я назвал это extended netflow.
Для реализации задумки мною было написано многопоточное приложение на C++ с использованием библиотеки libpcap для доступа к сетевому трафику. Текущая реализация позволяет на вход принимать файл pcap или открывать сетевой интерфейс, вычислять для трафика extended netflow и сохранять его в файл либо отправлять по UDP на обработчик. Подобный набор функций позволил сделать сбор и обработку данных в режиме реального времени на домашнем стенде, в котором с помощью функции port mirroring производится копирование трафика от хвоста домашнего интернет-провайдера на отдельный сетевой интерфейс.
При вычислении extended netflow получается огромная таблица, которую очень сложно объять глазами, и даже преобразовать её в PNG иллюстрацию было той ещё задачей. Посмотреть можно в скрытом сегменте.
Скрытый текст
Эстетика
А можно ли как-то воспринять эти данные целиком, а не только в табличном виде? Да, конечно! Я смог найти способ преобразовать extended netflow в звук по наработкам из этой статьи. В свою очередь по звуку можно собрать спектрограмму. И это был не просто увлекательный факультатив: в генерации звука используются все поля данных, при этом если человек сможет отличить на слух один трафик от другого, то машинное обучение с этим справится точно.
Осторожно, не самые приятные металлические звуки! Перед прослушиванием сделайте громкость ниже той, которую обычно используете. Но если вам нравится, например, токсик-рейв, то вам может и зайти.
Вот так звучит обновление данных в клиенте Telegram.
Это подключение агента Stowaway к серверу управления (C2). Самое интересное на первой секунде.
Так звучит полное сканирование TCP-портов с помощью Nmap.
А вот это, по моему мнению, самое интересное для прослушивания. UDP-поток игры WoT Blitz во время подбора игроков, загрузки, самого сражения и вывода окна результатов. На слух всё это можно выделить.
Скрытый текст
Может, стоит организовать демо-сцену на extended netflow? Приложение не более 1 килобайта, генерировать такой трафик, чтобы сыграть мелодию и нарисовать картинку. ) Вот только генерация подобного звука по трафику требует очень много ОЗУ при формировании WAV.
Тут самое время обсудить время и состояния потоков. Для генерации звука использовалось каждое уникальное состояние потока, а оно меняется при обработке каждого кадра, что соответствует данному потоку. Тут мы замечаем, что условно трафик в 1 мегабайт может породить extended netflow таблицу размером в 100 мегабайт и более. Этот объём можно сократить, если брать срезы данных через промежутки времени или же работать только с остановленными потоками, у которых истекло время жизни и они были завершены.
Практическое применение
А что дальше? А дальше я применил машинное обучение. Помимо сбора данных необходимо их ещё разметить. В рамках моего стенда идентифицировать трафик с точностью до PID в ОС всех домашних устройств очень сложно, поэтому был выбран следующий подход, достаточный для проверки на возможность практического применения.
Ставим трафик на запись (хвост от провайдера домашнего интернета).
Смотрим, какие домашние устройства и приложения работали в рамках записи трафика, специально используем приложения, которые хотим попробовать детектировать.
Выделяем данные для разметки трафика, в моём случая я использовал DNS. Используем предположение, что применяя приложение Х и обнаружив трафик на сервера компании Х в один момент времени, можно составить соответствие приложения Х и запрошенных доменных имён. Отсюда выходит, что категория ML будет соответствовать доменному имени, которое запрашивалось при активности приложения, т.е. на работу одного приложения может приходить несколько категорий ML.
Да, это не самый идеальный способ разметки, но самый простой в рамках имеющейся домашней сети.
Вообще вопрос разметки интересный. Было бы идеально сопоставить каждую функцию приложения с трафиком (запуск, регистрация, нажатие кнопки Х, использование параметра Y и так далее), но это потребует создание специального стенда.
За несколько часов записи и за 5-8 циклов входа в приложения, которые хотелось обнаружить, у меня получился датасет, к которому можно применить машинное обучение. Для максимальной простоты применения ML я воспользовался random forest, как алгоритмом, наименее требовательным к нормализации данных. Если вы внимательно смотрели на длинный скриншот с примером данным extended netflow, то заметили, что в данных встречаются inf, -inf, и nan. Это я обыграл пусть и грубым, но рабочим способом:
df = df.replace(-numpy.inf, -3.4E38).replace(numpy.inf, 3.4E38).fillna(0)Скрытый текст
Да, я понимаю, что наверняка существует способ обработать данные и использовать их на 146% эффективнее. Но если это и так сработает, то просто отметим это как возможный вектор улучшений.
В дополнении к этому я ограничился правилом объединения src:ip <-> dst:ip и только итоговыми состояниями потоков, т.е. в данном эксперименте я не анализировал все состояния потоков и их изменения, только те, где stopped = 1. Эти меры уменьшили объём данных для обучения и соответствовали логике алгоритма random forest (принимается решение по конечному состоянию потока без учёта промежуточных значений, промежуточные состояния разных потоков могут и совпасть).
Для интереса также я подмешал в датасет данные по трафику ВПО. Мой взор пал на Cobaltstrike, он достаточно популярный у злоумышленников, к тому же по нему трафик легко собирается с помощью песочницы any.run. После яростного сражения с гидрантами, автомобилями, велосипедами, автобусами и лестницами я собрал вот такой трафик с разметкой (образец принимался, если был обмен трафиком с С2).
# anyrun
mark = "cobaltstrike"
stopped_flag = True
markup = {
"6924543f-a6a9-4bd4-a65e-5ef3a100b269":["47.92.131.203"],
"ee137c92-b097-4385-8a72-6429552ee06e":["47.92.131.203"],
"a8f4f4b2-593b-4d3f-911e-377589415ae7":["101.226.21.200"],
"3e4e3a1c-60af-4659-a7c5-f77fb59aa74c":["121.40.55.28"],
"2df29484-3c21-4689-ae79-33629fa0a365":["121.40.55.28"],
"c8b93c69-a55a-4651-b817-532ef0a9ecf7":["121.40.55.28"],
"7b0e5a8d-33a7-42cc-868f-3f12be352ccb":["123.6.40.224"],
"dac59a3d-6094-4d55-b91d-9a55b421f3b2":["165.154.98.216"],
"5cfda5f9-5870-4691-b29d-e967ae968f95":["101.42.238.250"],
"0c35053b-a17c-41c7-868c-2908e8670cab":["134.175.121.153"], #?
"ff18b194-985a-453e-9b32-ad18a6610634":["39.104.80.117"],
"2eaf2ec6-db36-4d5b-8cd0-6816d042f624":["45.116.78.127"],
"e4a5bceb-597c-44ba-b4b2-293d2bab50f0":["120.46.56.20"],
"d68d8f86-bf28-41b8-8c9d-d7b0ff117ad4":["47.236.37.45"],
"86d4e5f5-8d48-4849-948a-93f8dc4092b0":["107.175.65.209"],
"faf68ac2-5c8f-43f1-a52c-e43382ef0b5a":["47.236.37.45"],
"9283be4a-bffd-48f8-a061-291b094ca442":["47.236.37.45"],
"0b6b23ac-1814-4231-b35c-d27761aefda8":["206.206.76.193"],
"3c4f8ff2-d948-407a-b255-3e998d04d704":["101.37.34.164"],
"f3643336-a9dc-4878-acda-84eb0fd64030":["101.37.34.164"],
"e8f4bc4e-2f24-4674-b27e-097f30faf287":["163.181.131.211","104.21.64.1"], #?
"531cb6ca-e25e-4254-b43c-bfa3e5811352":["18.138.186.108"],
"92e884fe-02fe-4d2b-b88f-da7ffeb8eb10":["47.92.29.21"],
"1e7bf027-7e2d-4efe-a6d9-8bda07d95da1":["124.223.19.180"],
"b3c54c72-b470-450b-8f8e-1662d194c0b2":["124.223.19.180"],
# # test
# "fb407376-f143-46a7-a5f2-3156daceb88c":["107.175.65.209"],
# "25da38cb-1047-43a9-90eb-8e59bc9dd8c9":["20.83.148.22"],
# "0651a50a-1222-4b5e-bed8-53c723a82933":["103.96.75.36"],
}По UUID, подставив его в ссылку any.run для таски, вы сможете тоже получить этот трафик.
Модели на каждую категорию обучались отдельно, далее к ним прикреплялись метаданные и они отчуждались в pickle-файл python для применения на любом другом устройстве, где будет происходить обработка extended netflow. На датасете в 30 мегабайт я получил 458 мегабайт моделей (163 штуки).
Тестирование
Начнём с тех образцов Cobaltstrike, на которых не было в обучающей выборке. В скрытых сегментах результаты работы моделей.
Образец "fb407376-f143-46a7-a5f2-3156daceb88c" (Успех)
Скрытый текст
[{'category': 'cobaltstrike',
'flow_id': '9594e893-5039-43ea-abf4-f7b454b16b38',
'src_ip': '192.168.100.6',
'dst_ip': '107.175.65.209',
'start_time': '2024-12-01T08:32:37.812665'}]Образец "25da38cb-1047-43a9-90eb-8e59bc9dd8c9" (Успех)
Скрытый текст
[{'category': 'cobaltstrike',
'flow_id': '72eea9ec-4fd6-4819-83f4-dee1e264f6f9',
'src_ip': '192.168.100.110',
'dst_ip': '20.83.148.22',
'start_time': '2024-11-28T16:19:15.787883'},
{'category': 'cobaltstrike',
'flow_id': '1ba1efe2-7400-4818-a35f-a98c37a7275f',
'src_ip': '192.168.100.110',
'dst_ip': '104.84.58.22',
'start_time': '2024-11-28T16:19:17.681088'},
{'category': 'cobaltstrike',
'flow_id': '585dfff0-0933-4a26-8a12-59cd9fd6d390',
'src_ip': '104.84.58.22',
'dst_ip': '192.168.100.110',
'start_time': '2024-11-28T16:19:36.316248'},
{'category': 'cobaltstrike',
'flow_id': '2bff29c3-a6c6-4deb-9c2f-b43e73684637',
'src_ip': '192.168.100.110',
'dst_ip': '20.83.148.22',
'start_time': '2024-11-28T16:19:41.504664'},
{'category': 'cobaltstrike',
'flow_id': '1844bb84-185e-475b-9a5d-29470b129206',
'src_ip': '192.168.100.110',
'dst_ip': '104.84.58.22',
'start_time': '2024-11-28T16:19:42.142141'},
{'category': 'cobaltstrike',
'flow_id': '7cff8941-0868-44d4-9e3b-0123358c0d8f',
'src_ip': '104.84.58.22',
'dst_ip': '192.168.100.110',
'start_time': '2024-11-28T16:19:58.241980'},
{'category': 'cobaltstrike',
'flow_id': '34bae684-6770-4495-ba07-0e61a3db49bd',
'src_ip': '192.168.100.110',
'dst_ip': '20.83.148.22',
'start_time': '2024-11-28T16:20:03.426848'},
{'category': 'cobaltstrike',
'flow_id': '9b72c966-06b4-47d1-83ef-33d94da22adc',
'src_ip': '192.168.100.110',
'dst_ip': '104.84.58.22',
'start_time': '2024-11-28T16:20:03.984755'},
{'category': 'cobaltstrike',
'flow_id': '6932a3a0-f9c6-4308-b33c-d77de1f32d69',
'src_ip': '104.84.58.22',
'dst_ip': '192.168.100.110',
'start_time': '2024-11-28T16:20:58.564716'},
{'category': 'cobaltstrike',
'flow_id': 'af370435-b947-4bb5-8298-7d96ff2883c1',
'src_ip': '192.168.100.110',
'dst_ip': '104.84.58.22',
'start_time': '2024-11-28T16:21:05.259989'}]Образец "0651a50a-1222-4b5e-bed8-53c723a82933" (Успех)
Скрытый текст
[{'category': 'cobaltstrike',
'flow_id': 'b1b1559f-b454-4886-b0c9-2e6f9fb4cc51',
'src_ip': '192.168.100.27',
'dst_ip': '103.96.75.36',
'start_time': '2024-11-28T09:59:29.688014'}]Далее я записал тестовый образец трафика домашнего интернета, получил extended netflow, которого не было в обучающей выборке, и пропустил через все обученные модели. Во время записи я слушал Яндекс музыку, использовал различные мобильные приложения через домашний Wi-Fi.
Android приложение Сбер (Условно успех)
Приложение обнаружено по категориям '[address].sberbank.ru', 'stat.online.sberbank.ru' и 'online.sberbank.ru', но при этом в категории 'mpsbol.clickstream.sberbank.ru' заметны сработки с адресом 64.233.161.100 (что-то Гугловое), я не могу подтвердить или опровергнуть, использует ли проложение Сбера какие-либо интеграции с Google при работе на телефоне без Google сервисов (Lineage OS). Это может быть ошибка модели (ложноположительное срабатывание) или действительно есть подобные интеграции.
Скрытый текст
[{'category': '[address].sberbank.ru',
'flow_id': '7aa59102-84df-411b-b52e-ee16030a11b5',
'src_ip': '192.168.88.254',
'dst_ip': '194.54.14.132',
'start_time': '2025-01-06T19:23:13.044286'}][{'category': 'stat.online.sberbank.ru',
'flow_id': '7aa59102-84df-411b-b52e-ee16030a11b5',
'src_ip': '192.168.88.254',
'dst_ip': '194.54.14.132',
'start_time': '2025-01-06T19:23:13.044286'}][{'category': 'mpsbol.clickstream.sberbank.ru',
'flow_id': '5d5f8c34-af5d-4bcf-9397-e5a71a7cdd4d',
'src_ip': '192.168.88.254',
'dst_ip': '194.54.15.235',
'start_time': '2025-01-06T19:24:32.335736'},
{'category': 'mpsbol.clickstream.sberbank.ru',
'flow_id': '8234bc52-a45a-4187-84af-48142a53d635',
'src_ip': '192.168.88.254',
'dst_ip': '64.233.161.100',
'start_time': '2025-01-06T19:27:12.452138'},
{'category': 'mpsbol.clickstream.sberbank.ru',
'flow_id': '1791f2d1-2288-49b1-b140-b2c0ddc93e44',
'src_ip': '192.168.88.254',
'dst_ip': '64.233.161.100',
'start_time': '2025-01-06T19:27:16.681193'},
{'category': 'mpsbol.clickstream.sberbank.ru',
'flow_id': 'bc2ac2e0-9cdd-4e58-80be-91db245490be',
'src_ip': '192.168.88.254',
'dst_ip': '64.233.161.100',
'start_time': '2025-01-06T19:31:06.020625'}][{'category': 'online.sberbank.ru',
'flow_id': '7aa59102-84df-411b-b52e-ee16030a11b5',
'src_ip': '192.168.88.254',
'dst_ip': '194.54.14.132',
'start_time': '2025-01-06T19:23:13.044286'}]Мобильное приложение Wildberries (iOS) (Условно успех)
Приложение обнаружено по категории 'ngx-common.wildberries.ru', при этом категория 'basket-xx.wbbasket.ru' сработала только на сервера Apple, что явно является falsepositive. Категория 'ru-api-lsb-gw.wb.ru' тоже имеет falsepositive, но только на адрес 40.79.173.41 (Microsoft). Стоит отметить, что обученные модели трафик ОС Windows в датасете не видели.
Скрытый текст
[{'category': 'basket-xx.wbbasket.ru',
'flow_id': '4ca4c3a5-59e6-4557-9ea3-03f2c2eacab2',
'src_ip': '192.168.88.254',
'dst_ip': '17.248.214.69',
'start_time': '2025-01-06T19:29:29.971486'}][{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '013c750b-317f-464b-8a1a-e6de1fb163b7',
'src_ip': '192.168.88.254',
'dst_ip': '185.138.253.20',
'start_time': '2025-01-06T19:23:12.894536'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '33e66a99-3e42-4b79-9921-ee8d83a10478',
'src_ip': '192.168.88.254',
'dst_ip': '185.138.255.1',
'start_time': '2025-01-06T19:23:13.981352'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '053be179-0ad7-4218-bbb3-4b8b3cb55d7b',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:23:13.846371'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '622ac2a1-30d6-4603-88b6-4d1ba1ee79e1',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:24:01.146406'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': 'f5e36ce9-9d6e-4aa2-8786-8edae301a874',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:25:01.185953'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '29d999d5-1ecb-4830-b5d6-bac99c1f0f23',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:25:36.536968'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '23169f72-baac-4539-b378-8fd8e2a90fb8',
'src_ip': '192.168.88.254',
'dst_ip': '20.50.80.210',
'start_time': '2025-01-06T19:25:43.000804'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': 'ecd348a2-3172-42cc-b512-4b51831f6d9a',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:26:07.131699'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': 'ebe3f847-6c47-443c-9346-88d2ef2a7670',
'src_ip': '192.168.88.254',
'dst_ip': '64.233.161.100',
'start_time': '2025-01-06T19:31:01.087586'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '9967d73b-cb56-498a-a98d-39abf28fe406',
'src_ip': '192.168.88.254',
'dst_ip': '40.79.173.41',
'start_time': '2025-01-06T19:32:35.003227'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '5be4f2fd-3b88-444a-8eff-424d73ee3323',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:32:32.740451'}][{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '013c750b-317f-464b-8a1a-e6de1fb163b7',
'src_ip': '192.168.88.254',
'dst_ip': '185.138.253.20',
'start_time': '2025-01-06T19:23:12.894536'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '33e66a99-3e42-4b79-9921-ee8d83a10478',
'src_ip': '192.168.88.254',
'dst_ip': '185.138.255.1',
'start_time': '2025-01-06T19:23:13.981352'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '053be179-0ad7-4218-bbb3-4b8b3cb55d7b',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:23:13.846371'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '622ac2a1-30d6-4603-88b6-4d1ba1ee79e1',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:24:01.146406'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': 'f5e36ce9-9d6e-4aa2-8786-8edae301a874',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:25:01.185953'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '29d999d5-1ecb-4830-b5d6-bac99c1f0f23',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:25:36.536968'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '23169f72-baac-4539-b378-8fd8e2a90fb8',
'src_ip': '192.168.88.254',
'dst_ip': '20.50.80.210',
'start_time': '2025-01-06T19:25:43.000804'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': 'ecd348a2-3172-42cc-b512-4b51831f6d9a',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:26:07.131699'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': 'ebe3f847-6c47-443c-9346-88d2ef2a7670',
'src_ip': '192.168.88.254',
'dst_ip': '64.233.161.100',
'start_time': '2025-01-06T19:31:01.087586'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '9967d73b-cb56-498a-a98d-39abf28fe406',
'src_ip': '192.168.88.254',
'dst_ip': '40.79.173.41',
'start_time': '2025-01-06T19:32:35.003227'},
{'category': 'ru-api-lsb-gw.wb.ru',
'flow_id': '5be4f2fd-3b88-444a-8eff-424d73ee3323',
'src_ip': '192.168.88.254',
'dst_ip': '213.184.155.145',
'start_time': '2025-01-06T19:32:32.740451'}]Android приложение Альфабанк (Успех)
Скрытый текст
[{'category': 'alfa-mobile.alfabank.ru',
'flow_id': 'eb5eab15-dbc9-4a35-b5f2-c78ac3f958ec',
'src_ip': '192.168.88.254',
'dst_ip': '217.12.98.151',
'start_time': '2025-01-06T19:23:04.945930'},
{'category': 'alfa-mobile.alfabank.ru',
'flow_id': '1ec16cb8-d61b-416f-8690-717edccae62d',
'src_ip': '192.168.88.254',
'dst_ip': '217.12.98.151',
'start_time': '2025-01-06T19:23:15.453791'}][{'category': 'groupib-am.alfabank.ru',
'flow_id': 'e83c299c-72e2-4232-8fc0-d35924e62110',
'src_ip': '192.168.88.254',
'dst_ip': '217.12.98.28',
'start_time': '2025-01-06T19:22:56.664209'}][{'category': 'metrics.alfabank.ru',
'flow_id': '280ef691-dfd6-4754-ad52-74d8bf7ffc9e',
'src_ip': '192.168.88.254',
'dst_ip': '217.12.98.74',
'start_time': '2025-01-06T19:23:18.648686'}]Обновление антивируса Kaspersky Plus (Успех)
Скрытый текст
[{'category': 'ksn-ca.geoksn.kaspersky.com',
'flow_id': 'efe37fee-cc2f-4519-b49d-d0cfcb3c36c5',
'src_ip': '192.168.88.254',
'dst_ip': '62.128.100.39',
'start_time': '2025-01-06T19:23:08.527952'},
{'category': 'ksn-ca.geoksn.kaspersky.com',
'flow_id': 'ac9684da-c7ed-4147-a364-4eff2a2ae33d',
'src_ip': '192.168.88.254',
'dst_ip': '62.128.100.43',
'start_time': '2025-01-06T19:23:08.527657'},
{'category': 'ksn-ca.geoksn.kaspersky.com',
'flow_id': 'a49ad7de-17a3-4d73-bbed-f0070bd9d756',
'src_ip': '192.168.88.254',
'dst_ip': '62.128.100.39',
'start_time': '2025-01-06T19:24:22.085451'},
{'category': 'ksn-ca.geoksn.kaspersky.com',
'flow_id': '39299b35-bd25-4a5d-acc3-658f76d2b0c3',
'src_ip': '192.168.88.254',
'dst_ip': '62.128.100.43',
'start_time': '2025-01-06T19:24:22.085082'}]Прослушивание музыки на сайте ЯндексМузыки (Успех)
Скрытый текст
[{'category': 'music.yandex.ru',
'flow_id': 'a02c9b10-09bd-4879-a4ef-ec1d092afd26',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:23:24.615955'},
{'category': 'music.yandex.ru',
'flow_id': '3f01a615-daf5-41f5-8993-2834b355f4ac',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:24:39.187410'},
{'category': 'music.yandex.ru',
'flow_id': '87261a31-0fd8-4fdc-a4dc-a2d05bde139e',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:25:37.217380'},
{'category': 'music.yandex.ru',
'flow_id': 'f2a1aa80-8ece-4fd8-852b-b41be3e0c39f',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:28:08.307188'},
{'category': 'music.yandex.ru',
'flow_id': 'a451bd94-8601-4bec-9cec-029d239a4723',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:29:06.513705'},
{'category': 'music.yandex.ru',
'flow_id': '3ff81529-4e61-4789-8ec1-fb27de81436a',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:30:18.523722'},
{'category': 'music.yandex.ru',
'flow_id': 'd5e06f7e-ea65-4e1f-a333-57d0549c6507',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:32:03.030260'},
{'category': 'music.yandex.ru',
'flow_id': '5d6197b9-9699-49e2-8016-c90bc62818ad',
'src_ip': '192.168.88.254',
'dst_ip': '213.180.204.186',
'start_time': '2025-01-06T19:34:04.479361'}]Использование сервисов VK и просмотр VKВидео (Условно успех)
Категория 'srvxxx.vk.com' даёт ложноположительные сработки на трафик приложения Wildberries. Категории 'vkvdxxx.okcdn.ru', 'vk.com' и 'vdxxx.okcdn.ru' ошибочно указывают на адрес Apple, что также является falsepositive. Но в целом работа сервисов обнаружена.
Скрытый текст
[{'category': 'srvxxx.vk.com',
'flow_id': '6f33898d-3b52-4dea-aceb-9567501bb73f',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:13.515969'},
{'category': 'srvxxx.vk.com',
'flow_id': '31c25e6a-4872-40ff-bf9b-8acf9e1872dc',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:40.693170'},
{'category': 'srvxxx.vk.com',
'flow_id': '6c6286b3-08c4-4951-b42b-9406e7d89f70',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:07.879947'},
{'category': 'srvxxx.vk.com',
'flow_id': 'a593a098-0234-4f26-864d-a26df30e19cb',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:35.081350'},
{'category': 'srvxxx.vk.com',
'flow_id': 'd3ce7a93-eb05-4c91-a7bb-91a3482d3317',
'src_ip': '185.62.202.8',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:49.273551'},
{'category': 'srvxxx.vk.com',
'flow_id': 'bd61a84e-c220-4600-bcf8-53565f489b1b',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:51.478179'},
{'category': 'srvxxx.vk.com',
'flow_id': 'cb62017e-87a8-4c43-8dd9-a83e9b3d0452',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:02.272498'},
{'category': 'srvxxx.vk.com',
'flow_id': '42925bea-9b5e-4d93-9c01-351664071614',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:21.577427'},
{'category': 'srvxxx.vk.com',
'flow_id': '104e6fc1-ed2d-4e34-bf10-db29a4db58f1',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:29.573503'},
{'category': 'srvxxx.vk.com',
'flow_id': '4cb65901-63eb-4fa7-9f6a-0d1d89749a63',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:56.811470'},
{'category': 'srvxxx.vk.com',
'flow_id': '027f7045-0056-4e94-95b1-2ee84403a7ad',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:23.994844'},
{'category': 'srvxxx.vk.com',
'flow_id': '9a6c9069-e144-4b9e-9526-44af50ee4c84',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:51.147963'},
{'category': 'srvxxx.vk.com',
'flow_id': '09b7de77-45b7-4aa9-aedf-36307b3b7438',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:18.390553'},
{'category': 'srvxxx.vk.com',
'flow_id': '7c65f55b-7e87-404d-bf62-b7657f8ee566',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:21.900056'},
{'category': 'srvxxx.vk.com',
'flow_id': '5a4e94e8-2d57-4a90-80ff-2cb9a7f94f87',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:45.650344'},
{'category': 'srvxxx.vk.com',
'flow_id': 'aeefd1ee-d6f3-4408-8505-65d5fbc59b38',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:12.826463'},
{'category': 'srvxxx.vk.com',
'flow_id': 'd0522d28-3920-4468-a20d-f31399167d33',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:40.070230'},
{'category': 'srvxxx.vk.com',
'flow_id': 'b98b662a-678c-44ef-b421-b5ec7ccaab8c',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:52.217482'},
{'category': 'srvxxx.vk.com',
'flow_id': 'a65a5e83-1ace-4ebe-9be6-a0a06df49859',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:07.266818'},
{'category': 'srvxxx.vk.com',
'flow_id': '5d36dfba-fd4c-475d-9d90-97e5a2eb71cf',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:34.448983'},
{'category': 'srvxxx.vk.com',
'flow_id': '2ea1c9c6-63fe-489a-9a9b-be0065ef31f8',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:52.427797'},
{'category': 'srvxxx.vk.com',
'flow_id': 'dab64980-4a8c-4d98-ab16-51ab650204c6',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:01.703794'},
{'category': 'srvxxx.vk.com',
'flow_id': 'f5b3330c-5d1d-430d-93f9-3ad6a3362b0d',
'src_ip': '95.213.56.4',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:14.542737'},
{'category': 'srvxxx.vk.com',
'flow_id': 'c9543332-8382-4497-8ca3-ffe972be0fc7',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:22.541263'},
{'category': 'srvxxx.vk.com',
'flow_id': '72ef3ea0-42a6-4b48-a6f2-16631e0dbe40',
'src_ip': '87.240.190.75',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:31.951400'},
{'category': 'srvxxx.vk.com',
'flow_id': 'bba4d3d1-9540-48d9-af49-f6d56ed97074',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:28.959628'},
{'category': 'srvxxx.vk.com',
'flow_id': 'fa3878c5-8e6c-4f45-8574-750605fc694d',
'src_ip': '95.213.56.4',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:32.687678'},
{'category': 'srvxxx.vk.com',
'flow_id': '330791a2-7c7d-49bf-bf88-8aeb64f22641',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:23.330020'},
{'category': 'srvxxx.vk.com',
'flow_id': '2547d587-06b6-4dcd-9165-240efed00c98',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:50.527821'},
{'category': 'srvxxx.vk.com',
'flow_id': '146e94d7-ce2c-4bbd-a1e3-d507a4af79de',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:22.789476'},
{'category': 'srvxxx.vk.com',
'flow_id': '2100b9d9-c844-4647-aa57-2cca10ab6980',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:44.930256'},
{'category': 'srvxxx.vk.com',
'flow_id': 'fcc67dca-990f-4ab3-81bb-f55c89487fb3',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:52.862564'}][{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '5f99d068-0e14-42ec-97d3-c94c80e3c724',
'src_ip': '192.168.88.254',
'dst_ip': '91.231.239.154',
'start_time': '2025-01-06T19:23:13.154654'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '72f41d66-529a-4d92-8c13-9e75863ef47a',
'src_ip': '192.168.88.254',
'dst_ip': '85.198.77.24',
'start_time': '2025-01-06T19:23:13.858258'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '579e32ed-1ae6-4fc1-b282-1a498c70ba3b',
'src_ip': '192.168.88.254',
'dst_ip': '185.226.55.171',
'start_time': '2025-01-06T19:23:28.898313'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '21ec4f71-7f04-4786-95bc-7a25c37fef6d',
'src_ip': '192.168.88.254',
'dst_ip': '17.253.39.206',
'start_time': '2025-01-06T19:23:20.006724'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '71da91d1-f9af-432a-b914-05c69d75a08b',
'src_ip': '192.168.88.254',
'dst_ip': '62.217.160.2',
'start_time': '2025-01-06T19:27:46.562497'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '3f51b130-aa1e-4c66-bf77-7a8343088af1',
'src_ip': '192.168.88.254',
'dst_ip': '92.123.206.158',
'start_time': '2025-01-06T19:29:34.453845'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '0c8db1a4-c260-44c4-a211-5680d6392ba8',
'src_ip': '192.168.88.254',
'dst_ip': '45.136.20.143',
'start_time': '2025-01-06T19:31:10.147787'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '790fc207-8944-45cb-9c5e-e88be05e5eb2',
'src_ip': '192.168.88.254',
'dst_ip': '45.136.20.145',
'start_time': '2025-01-06T19:31:12.188830'},
{'category': 'vkvdxxx.okcdn.ru',
'flow_id': '9e24e182-ae10-44ab-93e5-cb984ccff32d',
'src_ip': '192.168.88.254',
'dst_ip': '185.226.53.153',
'start_time': '2025-01-06T19:31:10.456433'}][{'category': 'vdxxx.okcdn.ru',
'flow_id': '5f99d068-0e14-42ec-97d3-c94c80e3c724',
'src_ip': '192.168.88.254',
'dst_ip': '91.231.239.154',
'start_time': '2025-01-06T19:23:13.154654'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '72f41d66-529a-4d92-8c13-9e75863ef47a',
'src_ip': '192.168.88.254',
'dst_ip': '85.198.77.24',
'start_time': '2025-01-06T19:23:13.858258'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '579e32ed-1ae6-4fc1-b282-1a498c70ba3b',
'src_ip': '192.168.88.254',
'dst_ip': '185.226.55.171',
'start_time': '2025-01-06T19:23:28.898313'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '21ec4f71-7f04-4786-95bc-7a25c37fef6d',
'src_ip': '192.168.88.254',
'dst_ip': '17.253.39.206',
'start_time': '2025-01-06T19:23:20.006724'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '71da91d1-f9af-432a-b914-05c69d75a08b',
'src_ip': '192.168.88.254',
'dst_ip': '62.217.160.2',
'start_time': '2025-01-06T19:27:46.562497'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '3f51b130-aa1e-4c66-bf77-7a8343088af1',
'src_ip': '192.168.88.254',
'dst_ip': '92.123.206.158',
'start_time': '2025-01-06T19:29:34.453845'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '0c8db1a4-c260-44c4-a211-5680d6392ba8',
'src_ip': '192.168.88.254',
'dst_ip': '45.136.20.143',
'start_time': '2025-01-06T19:31:10.147787'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '790fc207-8944-45cb-9c5e-e88be05e5eb2',
'src_ip': '192.168.88.254',
'dst_ip': '45.136.20.145',
'start_time': '2025-01-06T19:31:12.188830'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': 'c8eb6a24-e62d-45ea-a68e-4204186c1bdd',
'src_ip': '192.168.88.254',
'dst_ip': '45.136.20.195',
'start_time': '2025-01-06T19:31:12.761900'},
{'category': 'vdxxx.okcdn.ru',
'flow_id': '9e24e182-ae10-44ab-93e5-cb984ccff32d',
'src_ip': '192.168.88.254',
'dst_ip': '185.226.53.153',
'start_time': '2025-01-06T19:31:10.456433'}][{'category': 'vk.com',
'flow_id': '6e013812-943a-4fab-a96d-8f59da374641',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:22:50.140126'},
{'category': 'vk.com',
'flow_id': '10edef7e-1d23-4666-89ac-77583d2f30fa',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:22:51.795036'},
{'category': 'vk.com',
'flow_id': '07467be7-0aa2-4e74-aa66-ce8273e334fb',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:18.981828'},
{'category': 'vk.com',
'flow_id': '8f930a94-296e-42ac-999e-ff7e0ef0aae1',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:15.184560'},
{'category': 'vk.com',
'flow_id': 'b95c35cc-4a6f-45ce-a5f7-c5cfdf920454',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:40.222850'},
{'category': 'vk.com',
'flow_id': '34ef8981-f1a3-4a07-9874-972cc6cdf79c',
'src_ip': '87.240.190.70',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:49.523497'},
{'category': 'vk.com',
'flow_id': '4de4c06c-4062-4922-b63e-a32e679ac67a',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:05.319283'},
{'category': 'vk.com',
'flow_id': '6f33898d-3b52-4dea-aceb-9567501bb73f',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:13.515969'},
{'category': 'vk.com',
'flow_id': '2711fb77-75bc-4ed0-a5fb-c052ff040ae9',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:30.406665'},
{'category': 'vk.com',
'flow_id': '31c25e6a-4872-40ff-bf9b-8acf9e1872dc',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:40.693170'},
{'category': 'vk.com',
'flow_id': 'd4b1fdc6-40c6-412f-8394-98eaca82e733',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:51.263661'},
{'category': 'vk.com',
'flow_id': '6c6286b3-08c4-4951-b42b-9406e7d89f70',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:07.879947'},
{'category': 'vk.com',
'flow_id': '3a51cc09-e0d7-4422-bd42-d4bd6d46126d',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:20.573361'},
{'category': 'vk.com',
'flow_id': 'a593a098-0234-4f26-864d-a26df30e19cb',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:35.081350'},
{'category': 'vk.com',
'flow_id': 'e569c6fa-6343-45e4-b6d5-fc414a014115',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:41.111901'},
{'category': 'vk.com',
'flow_id': 'bd61a84e-c220-4600-bcf8-53565f489b1b',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:51.478179'},
{'category': 'vk.com',
'flow_id': '9eaa8114-c7b2-401d-a1ef-564056893bb6',
'src_ip': '192.168.88.254',
'dst_ip': '185.62.202.8',
'start_time': '2025-01-06T19:25:59.168584'},
{'category': 'vk.com',
'flow_id': 'cb62017e-87a8-4c43-8dd9-a83e9b3d0452',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:02.272498'},
{'category': 'vk.com',
'flow_id': 'ed9b9320-3874-4da0-ba22-4ab2a85da459',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:08.250802'},
{'category': 'vk.com',
'flow_id': '42925bea-9b5e-4d93-9c01-351664071614',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:21.577427'},
{'category': 'vk.com',
'flow_id': '418b6bcd-4eec-4918-8155-11906c06069d',
'src_ip': '17.57.146.139',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:25.914344'},
{'category': 'vk.com',
'flow_id': '104e6fc1-ed2d-4e34-bf10-db29a4db58f1',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:29.573503'},
{'category': 'vk.com',
'flow_id': '9c85617c-b245-47d8-ac0d-7ad3553a6d73',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:35.788697'},
{'category': 'vk.com',
'flow_id': '4cb65901-63eb-4fa7-9f6a-0d1d89749a63',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:56.811470'},
{'category': 'vk.com',
'flow_id': '027f7045-0056-4e94-95b1-2ee84403a7ad',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:23.994844'},
{'category': 'vk.com',
'flow_id': 'd6973b85-ea96-4b98-bd78-7478946749c8',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:21.689192'},
{'category': 'vk.com',
'flow_id': '9a6c9069-e144-4b9e-9526-44af50ee4c84',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:51.147963'},
{'category': 'vk.com',
'flow_id': '1680491d-49cd-4f80-8d78-974a391ecc76',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:13.110219'},
{'category': 'vk.com',
'flow_id': '09b7de77-45b7-4aa9-aedf-36307b3b7438',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:18.390553'},
{'category': 'vk.com',
'flow_id': '7c65f55b-7e87-404d-bf62-b7657f8ee566',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:21.900056'},
{'category': 'vk.com',
'flow_id': '5a4e94e8-2d57-4a90-80ff-2cb9a7f94f87',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:45.650344'},
{'category': 'vk.com',
'flow_id': 'aeefd1ee-d6f3-4408-8505-65d5fbc59b38',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:12.826463'},
{'category': 'vk.com',
'flow_id': 'ad9312a1-0557-419d-a354-4f33a395ece6',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:13.344608'},
{'category': 'vk.com',
'flow_id': '410e2c1a-bda7-4510-b1e9-4beccad1dcd0',
'src_ip': '192.168.88.254',
'dst_ip': '17.248.214.68',
'start_time': '2025-01-06T19:29:25.417609'},
{'category': 'vk.com',
'flow_id': 'd0522d28-3920-4468-a20d-f31399167d33',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:40.070230'},
{'category': 'vk.com',
'flow_id': 'b98b662a-678c-44ef-b421-b5ec7ccaab8c',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:52.217482'},
{'category': 'vk.com',
'flow_id': 'ff2786d9-2550-4397-bbaf-514739ce006b',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:56.489127'},
{'category': 'vk.com',
'flow_id': 'a65a5e83-1ace-4ebe-9be6-a0a06df49859',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:07.266818'},
{'category': 'vk.com',
'flow_id': '673aaee1-8935-4361-bdd7-e0c5c744f1ee',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:21.524094'},
{'category': 'vk.com',
'flow_id': '5d36dfba-fd4c-475d-9d90-97e5a2eb71cf',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:34.448983'},
{'category': 'vk.com',
'flow_id': '0c11cf24-04dc-474f-983c-0170f446c120',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:42.679234'},
{'category': 'vk.com',
'flow_id': '2ea1c9c6-63fe-489a-9a9b-be0065ef31f8',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:52.427797'},
{'category': 'vk.com',
'flow_id': 'dab64980-4a8c-4d98-ab16-51ab650204c6',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:01.703794'},
{'category': 'vk.com',
'flow_id': '44563b1a-188d-4867-aa4a-abdc666e6f8c',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:11.607811'},
{'category': 'vk.com',
'flow_id': 'f5b3330c-5d1d-430d-93f9-3ad6a3362b0d',
'src_ip': '95.213.56.4',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:14.542737'},
{'category': 'vk.com',
'flow_id': 'c9543332-8382-4497-8ca3-ffe972be0fc7',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:22.541263'},
{'category': 'vk.com',
'flow_id': '72ef3ea0-42a6-4b48-a6f2-16631e0dbe40',
'src_ip': '87.240.190.75',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:31.951400'},
{'category': 'vk.com',
'flow_id': 'bba4d3d1-9540-48d9-af49-f6d56ed97074',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:28.959628'},
{'category': 'vk.com',
'flow_id': 'fa3878c5-8e6c-4f45-8574-750605fc694d',
'src_ip': '95.213.56.4',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:32.687678'},
{'category': 'vk.com',
'flow_id': '6a8c68ce-500a-4052-822b-395f2828bc64',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:36.686700'},
{'category': 'vk.com',
'flow_id': 'ee9f825e-526f-4696-aaa6-bfb28392244d',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:56.144236'},
{'category': 'vk.com',
'flow_id': '3bebc937-18c4-4eee-a59a-3ce32be5e670',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:01.775901'},
{'category': 'vk.com',
'flow_id': '330791a2-7c7d-49bf-bf88-8aeb64f22641',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:23.330020'},
{'category': 'vk.com',
'flow_id': '2af6fa4a-e6c3-4569-88b0-fc4b3f02f8dd',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:22.640092'},
{'category': 'vk.com',
'flow_id': '2547d587-06b6-4dcd-9165-240efed00c98',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:50.527821'},
{'category': 'vk.com',
'flow_id': 'a197f5b7-f27f-4465-942d-be2e9e23c699',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:47.931337'},
{'category': 'vk.com',
'flow_id': '58e666af-d0cd-4833-a254-1c3682b956c1',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:11.514401'},
{'category': 'vk.com',
'flow_id': 'c3111029-2b65-4e94-a6e0-5178c674982d',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:17.776639'},
{'category': 'vk.com',
'flow_id': '146e94d7-ce2c-4bbd-a1e3-d507a4af79de',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:22.789476'},
{'category': 'vk.com',
'flow_id': 'af63bc30-a16e-43dc-a8ae-7e1a94c9fe92',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:38.625419'},
{'category': 'vk.com',
'flow_id': '2100b9d9-c844-4647-aa57-2cca10ab6980',
'src_ip': '93.186.237.6',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:44.930256'},
{'category': 'vk.com',
'flow_id': 'fcc67dca-990f-4ab3-81bb-f55c89487fb3',
'src_ip': '93.186.237.7',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:52.862564'}]Работа приложений Telegram на разных устройствах (Успех)
Скрытый текст
[{'category': 'api.telegram.org',
'flow_id': 'b157fb94-3eb3-44fc-8fd4-69ff31cfdfd5',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:22:36.983318'},
{'category': 'api.telegram.org',
'flow_id': '231b898b-d8cf-4071-8e28-d5f7304994ff',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:22:47.120778'},
{'category': 'api.telegram.org',
'flow_id': '6fa532e3-035c-42c9-aa20-4dbac01e26be',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:22:57.170995'},
{'category': 'api.telegram.org',
'flow_id': '6afd501e-a938-4f36-92d0-127169196084',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:07.293054'},
{'category': 'api.telegram.org',
'flow_id': '24b440ab-dfdd-4751-b8c6-984c2a667c5f',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:17.432971'},
{'category': 'api.telegram.org',
'flow_id': '3e899093-ea69-433d-9cac-e795634e948b',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:27.482165'},
{'category': 'api.telegram.org',
'flow_id': '57320b8d-08d0-40b6-b65a-a8568458bb54',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:37.604085'},
{'category': 'api.telegram.org',
'flow_id': '7fd0f947-04f3-4804-adfe-62a0c5c4ab9f',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:47.744517'},
{'category': 'api.telegram.org',
'flow_id': '0387f170-703e-4936-b0dc-04a4316de9f8',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:57.791810'},
{'category': 'api.telegram.org',
'flow_id': '657b6042-1d6c-4c4a-bdfd-02efb7b47d63',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:07.915415'},
{'category': 'api.telegram.org',
'flow_id': 'f1a0f13d-9af7-4b8c-86cf-693ea28a8d50',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:18.074512'},
{'category': 'api.telegram.org',
'flow_id': 'a022e56c-2524-4c2a-ab5b-86d576ea251d',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:28.124930'},
{'category': 'api.telegram.org',
'flow_id': 'cb888e41-0955-4ba7-bdbe-dd3c8a5a6334',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:38.226956'},
{'category': 'api.telegram.org',
'flow_id': 'de219a78-98f7-4b2f-a61c-4390876b8736',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:48.365287'},
{'category': 'api.telegram.org',
'flow_id': 'e4b016be-db12-450d-94e2-f0787daa729e',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:24:58.500136'},
{'category': 'api.telegram.org',
'flow_id': '9adbb03a-f85d-4aef-a2d3-e69961317be9',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:08.548871'},
{'category': 'api.telegram.org',
'flow_id': '7072befc-4a52-42c8-ab23-868758ff559d',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:18.674862'},
{'category': 'api.telegram.org',
'flow_id': 'e395b675-a325-420a-9781-971a3a00c0d1',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:28.813663'},
{'category': 'api.telegram.org',
'flow_id': '14bbead8-adb0-493f-ba5c-954e26dbe946',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:38.858381'},
{'category': 'api.telegram.org',
'flow_id': '0a1890e8-efb0-4471-9fd2-2ab85a24f9fa',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:48.984160'},
{'category': 'api.telegram.org',
'flow_id': 'caf271b6-9479-4a7e-9dd8-ddc0b36b55e2',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:59.130768'},
{'category': 'api.telegram.org',
'flow_id': 'abea67df-592e-45b8-b01d-5a0dc14a69a3',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:09.180926'},
{'category': 'api.telegram.org',
'flow_id': 'bc3458c8-9430-4c03-8b11-23e8f2864551',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:19.296555'},
{'category': 'api.telegram.org',
'flow_id': '8f15c3b4-7f1b-46ea-9673-62698f3ca4a9',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:29.432369'},
{'category': 'api.telegram.org',
'flow_id': 'aad6ed98-2cf2-47a3-83d0-12830525fb6a',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:39.480116'},
{'category': 'api.telegram.org',
'flow_id': '0cd1e036-4bdd-4326-a91e-4008f9ab745c',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:49.606681'},
{'category': 'api.telegram.org',
'flow_id': '13a668fd-3a92-456c-907d-af5ea0530654',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:26:59.743337'},
{'category': 'api.telegram.org',
'flow_id': '434f39a9-439e-4fe4-aa12-5c5451914934',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:09.792773'},
{'category': 'api.telegram.org',
'flow_id': '08eb15d6-a061-4cf6-a3e2-00ffac6a03e9',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:19.916183'},
{'category': 'api.telegram.org',
'flow_id': 'c4f36dd5-ce58-4f18-90e3-29987972b5fd',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:30.064493'},
{'category': 'api.telegram.org',
'flow_id': '59423214-8815-4ce9-87ea-009bb187f385',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:40.117628'},
{'category': 'api.telegram.org',
'flow_id': '5dfcdb7c-50ba-47b1-a99a-b2778d127a11',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:27:50.227002'},
{'category': 'api.telegram.org',
'flow_id': 'a2c174a0-044c-4203-9058-ca4b425e4865',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:00.368102'},
{'category': 'api.telegram.org',
'flow_id': 'e08a3cd4-a4a5-426d-be8a-8ee0d1d1ef92',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:10.412832'},
{'category': 'api.telegram.org',
'flow_id': '2843a98e-aa83-41b1-9071-652e48789093',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:20.554114'},
{'category': 'api.telegram.org',
'flow_id': '05a22d89-4e09-4259-9f0d-672d763db56d',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:30.708867'},
{'category': 'api.telegram.org',
'flow_id': 'a49d91e9-5473-4437-ab0c-d0cbbde3ce45',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:40.811955'},
{'category': 'api.telegram.org',
'flow_id': '3b9cb71f-ec84-4366-831f-beca715b8f20',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:28:51.057860'},
{'category': 'api.telegram.org',
'flow_id': 'f5ab41c7-d45b-435a-ab5f-30287e24208d',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:01.190522'},
{'category': 'api.telegram.org',
'flow_id': '4abf90d5-4530-4833-800e-fdbb1420e022',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:11.237648'},
{'category': 'api.telegram.org',
'flow_id': '68945149-8485-4baa-8d8d-7bdf6be344b7',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:21.363024'},
{'category': 'api.telegram.org',
'flow_id': '1329a992-647d-476c-8267-7a9ba8234d73',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:31.500060'},
{'category': 'api.telegram.org',
'flow_id': 'f470fff6-4fa2-4686-abd7-8e02299c604c',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:41.638526'},
{'category': 'api.telegram.org',
'flow_id': '086301f0-5eba-43a1-9594-0f9318a195db',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:29:51.776623'},
{'category': 'api.telegram.org',
'flow_id': '8213883d-6ce9-4547-aeb3-7496e44e4a2c',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:02.015678'},
{'category': 'api.telegram.org',
'flow_id': 'e8833cc4-76e0-46fc-a441-e7a016ff2453',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:12.063172'},
{'category': 'api.telegram.org',
'flow_id': '2dcc92fa-56f7-49bf-8898-dd23857020b5',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:22.185720'},
{'category': 'api.telegram.org',
'flow_id': '59a4083f-7249-4170-a6ee-844a79b2bed1',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:32.331346'},
{'category': 'api.telegram.org',
'flow_id': '3641390b-0735-4e5f-a529-e25bdc1a6cfa',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:42.465358'},
{'category': 'api.telegram.org',
'flow_id': 'd57e506a-1639-4bc6-9443-911f024c0d13',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:30:52.606777'},
{'category': 'api.telegram.org',
'flow_id': 'd0f2c6fe-d5d5-4181-b60f-aaa79e498fc6',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:02.740562'},
{'category': 'api.telegram.org',
'flow_id': '534da793-c52c-4422-88a8-86e4b24d39d3',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:12.881761'},
{'category': 'api.telegram.org',
'flow_id': 'd812fa4f-bc08-428b-98fb-7397c8914d80',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:23.015578'},
{'category': 'api.telegram.org',
'flow_id': '4fec5f7f-de60-4e62-8335-52c709507b1e',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:33.153118'},
{'category': 'api.telegram.org',
'flow_id': '6f97420e-b513-4066-827c-f1d4c7558e79',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:43.292715'},
{'category': 'api.telegram.org',
'flow_id': '960003a0-1468-4573-a7ed-7d13d658f196',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:31:53.428253'},
{'category': 'api.telegram.org',
'flow_id': 'd62fe26f-bc26-41e4-84f2-d303ce4ffbfc',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:03.587073'},
{'category': 'api.telegram.org',
'flow_id': 'f571f7da-ee77-4ff1-9088-2527a0ad23f7',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:13.705201'},
{'category': 'api.telegram.org',
'flow_id': 'ee0d8559-64ff-4efa-96ff-ce6547f50862',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:34.087539'},
{'category': 'api.telegram.org',
'flow_id': 'bfcec4af-888e-41f7-9e55-c4328a6b68ee',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:44.223563'},
{'category': 'api.telegram.org',
'flow_id': '62eb85d5-2883-4037-80d0-e4795875c81f',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:32:54.377844'},
{'category': 'api.telegram.org',
'flow_id': '1d20cd7b-542a-4fad-bee7-749bef151a91',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:04.600277'},
{'category': 'api.telegram.org',
'flow_id': '1f7b7e06-d113-45bd-80f3-765840aae9f5',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:14.734674'},
{'category': 'api.telegram.org',
'flow_id': '2f4faf0d-6019-4150-ae53-e59ea86bab15',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:24.872858'},
{'category': 'api.telegram.org',
'flow_id': '1bf51c68-a27a-4631-9f8c-c66dcaed1181',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:35.013692'},
{'category': 'api.telegram.org',
'flow_id': 'aba8d22d-7dca-4304-ba82-b92bdf9f8879',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:45.249037'},
{'category': 'api.telegram.org',
'flow_id': '1bceb779-8fed-462c-ad02-e8d7a3d0ead4',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:33:55.387470'},
{'category': 'api.telegram.org',
'flow_id': '943355d4-287b-4389-908d-142f5f96c97c',
'src_ip': '149.154.167.220',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:34:05.531777'}]Работа Android-приложения RuStore (Успех)
Скрытый текст
[{'category': 'rebus.rustore.ru',
'flow_id': 'e723153f-385a-4e67-bc11-4fc2c9405b0f',
'src_ip': '192.168.88.254',
'dst_ip': '95.163.58.174',
'start_time': '2025-01-06T19:23:08.414565'},
{'category': 'rebus.rustore.ru',
'flow_id': 'b3482a01-2dca-40ce-a96a-6308ed123bde',
'src_ip': '95.163.58.174',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:23:54.519271'},
{'category': 'rebus.rustore.ru',
'flow_id': 'c173c0d9-33f3-4120-bf93-4c7fcbefa304',
'src_ip': '95.163.58.174',
'dst_ip': '192.168.88.254',
'start_time': '2025-01-06T19:25:08.189635'}]Хорошо, а что делать, если надо обучить модель на что-то новое? Для примера я взял ngrok, который относительно часто применяют злоумышленники и redteam. Получил валидный токен ngrok, поставил на устройство клиент и сделал под запись трафика 7 подключений ngrok http 8000 --authtoken [token]. Выделил трафик ngrok, получил extended_netflow, сделал соответствующую разметку. Добавил полученный элемент датасета в общую базу и переобучил все модели.
Работа ngrok c того же устройства, где и собирался трафик (Успех)
Скрытый текст
[{'category': 'ngrok_conn',
'flow_id': 'b429dc01-5924-41ae-ae63-50b9a8777e1e',
'src_ip': '192.168.88.254',
'dst_ip': '3.123.83.158',
'start_time': '2025-01-06T21:58:29.962900'},
{'category': 'ngrok_conn',
'flow_id': 'aa7f8794-0da1-4a82-ad50-e4c58759d2dd',
'src_ip': '192.168.88.254',
'dst_ip': '3.164.240.91',
'start_time': '2025-01-06T21:58:30.113262'}]Запуск ngrok на другом устройстве (Условно успех)
При единственном подключении ngrok обнаружился только 1 поток из 2. (ngrok генерирует при подключении 2 потока по правилу src:ip <-> dst:ip)
Скрытый текст
[{'category': 'ngrok_conn',
'flow_id': '66544448-5f11-423a-9b30-b6f7c256105c',
'src_ip': '192.168.88.254',
'dst_ip': '3.164.240.70',
'start_time': '2025-01-06T22:08:58.843053'}]Для того, чтобы вы сами смогли попробовать обучить модели, проверить ваш трафик на моих моделях или просто посмотреть на огромные таблицы, я сделал Telegram бота, в которого можно отправить небольшой .pcap и получить в ответ extended netflow и отчёт по работе моделей. Из-за ограничений Telegram большие файлы ботом обработать не получится, но если же вы хотите обработать большие объёмы трафика, то пишите в бота или в личку для связи. В рамках моей домашней сети модели работают неожиданно хорошо, но у меня нет уверенности, что трафик, собранный у вас, даст тот же результат на мною обученных моделях. Влиять может всё: и провайдер, и точка сбора трафика, и конечные устройства, и может быть даже сами сетевые интерфейсы с их драйверами. Тут остаётся только экспериментировать.
Бот вычисляет extended netflow по следующим параметрам:
Параметр запуска движка |
Значение |
Период опроса состояния потока |
1 секунда |
Время жизни потока |
3 секунды |
Правило выделения потоков |
src:ip <-> dst:ip (поток между узлами) |
Данные параметры в первую очередь были выбраны в угоду экономии ресурсов, бот работает на Raspberry Pi 5 и суперпроизводительности от него ждать не стоит. При аналогичных параметрах я собирал датасет для обучения моделей. Если напишите в личку по обработке трафика, для ваших экспериментов я могу также варьировать и эти параметры.
Как это применять в жизни
Теперь давайте попробуем включить фантазию на максимум и подумаем, как extended netflow в теории можно применить.
Исследование влияния особенностей канала связи на трафик определённого сетевого приложения. Можно попробовать определить последнюю милю клиента.
Обнаружение активности сетевого приложения или его отдельных функций, получается некий DPI, который не поднимается выше транспортного уровня при обработке трафика. (Это успешно получилось) Сюда же можно включить и другие сетевые воздействия: сканирования, DDoS, применение сетевых эксплоитов и т.д. Очень хотелось бы попробовать обучить модель на Триангуляцию.
Глубокое исследование сетевой составляющей приложения и его различных версий, наверняка можно уловить связь между кодовой базой приложения и его extended netflow. Сюда же можно отнести и атрибуцию ВПО, если было переиспользование кода, это можно попробовать увидеть (и услышать).
Создание сетевого профиля устройства, физлица или определённого сегмента сети. Тут потребуется корреляция между результатами работы различных моделей, но если вы используете на ваших устройствах сетевые приложения устоявшимся и удобным для вас способом, то собрать такой профиль с ресурсами провайдера не составит труда. Если организация использует специфичные вещи на своих корпоративных устройствах, то это также можно обнаружить.
Использование в качестве вспомогательного источника информации для SIEM-систем/XDR/других СЗИ. Можно достичь высокого корреляционного потенциала при полном покрытии трафика конечной инфраструктуры.
Исследование телеметрии устройства, ОС или конкретной программы. Появляется возможность не только знать, что данные куда-то отправляются, но и понимать, на что эта отправка данных похожа. Далее можно обучить модель на телеметрию и понимать (на уровне провайдера), сколько подобных устройств есть у клиентов.
Создание рекламного профиля по сетевому трафику физлица из пункта 4.
Эстетика. Может когда-то сделаю что-то красиво выглядящее и звучащее на extended netflow.
Полноценное исследование и применение потребует ресурсов, которых лично у меня нет. Но потенциально это выглядит круто!
Улучшения
В рамках текущего исследования я прошёлся только по верхам, развивать задумку можно в разных направлениях.
Улучшения в применении ML, в первую очередь планирую применить свёрточные модели, чтобы для принятия решения был доступен ряд состояний потока и их изменения. По моим задумкам это позволит повысить точность обнаружения до конкретной функции приложения/API, возможно даже с неким представлением о параметрах и результатах вызовов этих функций.
Выстраивание процесса улучшения моделей обнаружения, в том числе и определение "важности" признаков для понимания, а всё ли полезно в extended netflow с точки зрения ML?
Поразмыслить над выделением новых признаков, может, я упустил какие-либо. При этом я понимаю, что добавление новых признаков потребует перезапуск всего процесса обучения за исключением разметки: заново получить extended netflow по всей имеющейся у меня базе трафика, заново переобучить все модели и сравнить с предыдущими.
Очень хочется оптимизировать приложение и попробовать написать реализацию под DPDK и с использованием CUDA.
А как можно спрятаться от обнаружения моделями на extended netflow? Трафик в VPN успешно прячется от обнаружения моделями. Дополнительно в один поток VPN может смешаться очень много реальных потоков, но вот если он будет один, то обучить модель попробовать можно. А ещё можно обучить модель на само создание подключения VPN, этим тоже можно попробовать заняться.
Глобально же спрятаться на текущий момент обнаружения моделями на extended netflow на мой взгляд сложно. В реальности это достижимо, если вы сами будете управлять размерами пакетов, межпакетными интервалами и вносить туда искусственные случайные изменения. Пока это не будет встроено в общеиспользуемые протоколы (например, в IP), данный способ работы с трафиком будет работать.
Выводы
Можно создать такой протокол netflow, данных которого будет достаточно для обучения моделей ML по обнаружению работы конкретного приложения с сетевыми функциями.
Применяя достаточно простой алгоритм ML random forest на собранный в течение нескольких часов датасет, можно обучить модели ML и получить высокую точность обнаружения обычных сервисов, приложений и специальных инструментов, которые могут применяться злоумышленниками.
Применение extended netflow через обученные на него модели ML может быть ограничено особенностями инфраструктуры и точкой сбора трафика, вероятно, для каждой инфраструктуры модели необходимо переобучать отдельно. При этом имея доступ к Интернет-инфраструктуре на уровне провайдера или органов исполнительной власти, имеется возможность обучить Интернет-модели ML для обнаружения чего бы то ни было.
Благодарю Хабр и всех читателей! Напоминаю про Telegram бота, буду рад вашим экспериментам, комментариям и обратной связи!