我正在開發用於分析SSH的Python項目。SSH ...讀取PCAP文件以確定SSH連接的IDle時間和連接類型
Curently我停留在兩件事情:
- 確定連接的空閒時間(當沒有數據傳輸在連接的時間百分比)
- 確定連接類型(外殼,隧道, scp等)。 - >連接內部是什麼類型的通道
如何解決這個問題?
我正在開發用於分析SSH的Python項目。SSH ...讀取PCAP文件以確定SSH連接的IDle時間和連接類型
Curently我停留在兩件事情:
如何解決這個問題?
在利用特定於域的詳細信息時,使用加密通信有時可能會使用reveal a surprising amount of information。重新審視過去的研究來理解方法是值得的。特別是對於SSH,我建議閱讀Dawn Song的論文inferring login passwords from SSH sessions。
另一個示例:Bro根據在連接開始時傳輸的字節數,使用從不成功登錄成功的啓發式識別。
一般來說,我建議記錄稍後要分析/分類的活動的痕跡。通過這種方式,您可以瞭解實際情況,並可以找出SSH的行爲與您期望的不同之處。
要確定交互式會話的空閒時間,您需要了解在無活動期間SSH注入的噪聲(如果有的話)。然後,您可以創建傳輸字節數的時間序列,並嘗試使用時間分辨率來查看哪些粒度模型最適合您的跟蹤。此外,您可以將時間序列分解爲兩個組件,一個是SSH協議噪聲和一個用戶活動。
這聽起來像一個經典的無監督學習問題:clustering,例如, k-均值或混合物。提出正確的功能集可能會涉及一些研究。例如,如果隧道連接也是交互式的,則確定來自隧道的交互式會話可能是困難的。在您的模型中,您可以考慮尺寸增量或者甚至包含更多上下文,例如在stepping stone detection中。