Ça nécessiterait du log à un niveau que tu ne VEUX pas sur de la production.
Parce que ça nécessite de mesurer le trafic au niveau applicatif (la mesure du volume d’une IP est difficile à faire avant, par exemple via iptables).
Et d’être capable de distinguer la part TLS handshake de la part TLS applicatif.
Ce qui ralentirait (sûrement fortement) ton trafic et te demanderait une complexité bien supérieure à juste une ligne de log dans ton apache|nginx.log
De stocker tout ça dans une bdd, pour être capable de faire de l’aggrégation sur des fenêtres glissantes.
D’avoir des outils d’analyse pour ressortir les gros consommateurs.
De recroiser pour savoir si c’est normal un tel trafic (par exemple qu’il n’a pas pompé une vidéo HD 4k de chez toi).
Sachant que ce qui se rapproche le plus de ce système est netflow, qui se base uniquement sur de l’échantillonnage du trafic justement pour des raisons de perfs et de faisabilité.
Et risque donc de laisser passer certains morceaux.
Bref, un truc qu’on est pas près d’avoir en production et qu’on aura a priori jamais.
Donc non, ce n’est pas détectable