是否有开源或免费的上网行为分析系统？

应该没有把 挖矿是一个本地行为 靠上网行为能监控吗

简单一点可以试试 ntopng ，把里面的规则打开，或者复杂点搞流量镜像分析，当然就不止这个应用场景了

如果网络规模比较小，内网 IP 数小于 256 个，可以尝试下 panabit 的标准版，这个应该是最接近商用的行为管理，如果你的内网交换机支持流量镜像，还能做旁路审计。

如果网络规模大，内网 IP 数大于 256 个，那就尝试搭建开源的方案吧，例如 ElatiscSearch+Kibana+Packetbeat ，虽然无法做控制，但是可以做流量审计，也许能发现一些端倪。

超过 256 ip 的话可以看看 Opnsense + Zenarmor 插件，免费版本有限制功能，但是 ip 数量看起来没限制。

很搞笑，一个开着热点的 4g 手机就完全绕过了你的方法。最靠谱的方法是用电量分析。

@dlsflh “哦昨天开了取暖器”

爱快能阻断虚拟货币挖矿协议，不过 ssl 的挖矿阻断不了

想到一個方法，用紅外熱成像，看誰的設備溫度最高

在家办公，来来来，让你挖

@dlsflh 很搞笑，楼主明明写了局域网几个大字，非要来杠

其实一个简单的二级网络 + 全局 VPN 代理，就可以轻松破解掉现在 所有 的行为分析，对，你没看错，我写的是所有。

二级网络的意思是，需要安装认证软件的机器上，装两个网卡。连接公司网络的网卡为外网网卡，另一个内网网卡连接交换机，交换机再连接一台内网机器，需要做一位违规事情的应用，放在内网机器上，内网机器用 VPN 开全局代理。

当然，这样做也是有弊端的：
1.很多基于底层网络协议，以及 UDP 协议，可能会被行为分析大幅度降低性能，甚至会被阻断。只有 TCP 才能畅通无阻。

2.内网机器的大部分性能可能会被用于 VPN 的加密解密。VPN 对端的机器也是如此。

@documentzhangx66 想多了根本破解不了，你这种方法只能破解一些管控并不严的企业，真正的管控向来都是技术+管理一起用的。
首先从终端配发开始，技术部门统一定制化后配发，域控制，物理绑定、管控软件啥的给你安装的明明白白的，。
做的严格的行为管控都有客户端，客户端干的第一件事就是把其他网口、蓝牙、usb 啥的全都禁掉。
就算你想到办法加密流量，还有一部分行为管控软件是靠连续截屏分析的。。。
别说你装个网卡了，拿 usb 给手机充个电要不了半天就来找你了。。。

suricata 上规则就行了。

suricata snort

共享办公类的吧？首先要客户端撞根证书的应该是要排除掉。
人家只是 isp 警告管一管挖矿相关流量吧？你用 4g ，人家也懒得管你。

suricata 楼上已经有老哥提到了

把几大矿池的 dns 污染一下是最简单的

panabit 的特征库实际上一直有在积极的更新，安装玩基础镜像后打补丁包即可，参考： https://bbs.panabit.com/thread-23213-1-1.html
最新更新的一个版本，就添加了“虚拟货币”的特征，可以尝试和爱快结合下

反过来问，如何避开楼主的审查？

去 minerpoolstats 上把矿池的域名拉一边
别屏蔽 就审计 谁访问 谁倒霉