Détection de tunnels - Journaux

• Détection « à postériori »

• Examen des journaux :

• • User-Agent inconnu
  • Volume de données échangées
  • Nombre de « hits »
  • Ecart type entre les requêtes (journaux Bind)
  • etc.

• Limites :

• • Pas d'analyse protocolaire
  • Durée des connexions TCP, début de connexion TCP
  • Information parcelaires (exemple SQUID: pas volume uploadé)

•  Solution : Détection de tunnels en temps réel