Похоже на тихую сетевую атаку или неправильно настроенное устройство. Возьми pcap за этот час и прогони через Zeek или Suricata. Еще проверь ARP-таблицы роутера и любые запланированные задачи, которые могли запуститься около 02:17. Если это будет повторяться, добавь оповещение о сканировании портов. Сообщи, что обнаружишь.