我写关于模式的网络流量识别的论文。输入文件包含成千上万条数据线,每一个都提供信息作为时间戳,源和目的地IP地址,源和目的地端口,接口,数PF字节和数据包的源和目的地和协议之间交换。数据行中的开始和结束时间总是相同的。路由器/服务器/客户端可以在网络流量数据导出中识别吗?
我的问题是,如果有可以将所有IP地址分配给类别,如路由器/服务器/客户端仅根据提供的信息,或者如果还有其他信息需要以正确地分配所有地址? (使用的端口大约是100-150,并且都是已注册和未注册的)。
谢谢!
你提的问题是非常广泛的,因为它取决于你心目中哪些类别很多。例如,你对服务器的定义是什么?无论如何,技术上NetFlow不支持任何类型的端点类型限定,因此您必须依赖统计数据。如果某个目的地的IP地址有显著(绝对)流量为例子(目的地)端口25将可能是一个SMTP服务器数量。并且发件人可以或许被归类为客户,除非它也获得了很多SMTP流量(所以它会被中继)。由于NetFlow通常在路由器上运行(交换机上的频率较低),因此您的NetFlow源IP地址可能是路由器。来自或来自特定端口上的IP地址的大量流量可能将该IP地址指定为服务器。你必须确定这个界限。并且 - 如果需要的话 - 服务器的类型。 SMTP也可以运行非标准端口(例如80),但可能通过测量入口和出口数据的数量来检测。我的猜测是几个标准协议在这方面有可识别的比例。