我寫關於模式的網絡流量識別的論文。輸入文件包含成千上萬條數據線,每一個都提供信息作爲時間戳,源和目的地IP地址,源和目的地端口,接口,數PF字節和數據包的源和目的地和協議之間交換。數據行中的開始和結束時間總是相同的。路由器/服務器/客戶端可以在網絡流量數據導出中識別嗎?
我的問題是,如果有可以將所有IP地址分配給類別,如路由器/服務器/客戶端僅根據提供的信息,或者如果還有其他信息需要以正確地分配所有地址? (使用的端口大約是100-150,並且都是已註冊和未註冊的)。
謝謝!
你提的問題是非常廣泛的,因爲它取決於你心目中哪些類別很多。例如,你對服務器的定義是什麼?無論如何,技術上NetFlow不支持任何類型的端點類型限定,因此您必須依賴統計數據。如果某個目的地的IP地址有顯著(絕對)流量爲例子(目的地)端口25將可能是一個SMTP服務器數量。並且發件人可以或許被歸類爲客戶,除非它也獲得了很多SMTP流量(所以它會被中繼)。由於NetFlow通常在路由器上運行(交換機上的頻率較低),因此您的NetFlow源IP地址可能是路由器。來自或來自特定端口上的IP地址的大量流量可能將該IP地址指定爲服務器。你必須確定這個界限。並且 - 如果需要的話 - 服務器的類型。 SMTP也可以運行非標準端口(例如80),但可能通過測量入口和出口數據的數量來檢測。我的猜測是幾個標準協議在這方面有可識別的比例。