Филировать, как много в этом слове?
Если просто анализировать - хоть tcpdump включи и смотри трафик глазами (wireshark конечно поудобнее будет с фильтрами и gui). Если нужны какие то срабатывания - то писать скрипты, либо использовать готовый siem и ids/ips. Не обязательно за денежку, вот посоветовали бесплатную сурикату и условно бесплатный снорт, как сием можно накрутить splunk.
Чтобы генерировать вредоносный трафик - сканировать порты мало, используйте metasploit, kali. В интернет совсем такое себе решение выставлять машину на растерзание. Будет очень не репрезентативно.
Простой
