0
我正在開發用於分析SSH的Python項目。SSH ...讀取PCAP文件以確定SSH連接的IDle時間和連接類型
Curently我停留在兩件事情:
- 確定連接的空閒時間(當沒有數據傳輸在連接的時間百分比)
- 確定連接類型(外殼,隧道, scp等)。 - >連接內部是什麼類型的通道
如何解決這個問題?
A
回答
1
在利用特定於域的詳細信息時,使用加密通信有時可能會使用reveal a surprising amount of information。重新審視過去的研究來理解方法是值得的。特別是對於SSH,我建議閱讀Dawn Song的論文inferring login passwords from SSH sessions。
另一個示例:Bro根據在連接開始時傳輸的字節數,使用從不成功登錄成功的啓發式識別。
一般來說,我建議記錄稍後要分析/分類的活動的痕跡。通過這種方式,您可以瞭解實際情況,並可以找出SSH的行爲與您期望的不同之處。
要確定交互式會話的空閒時間,您需要了解在無活動期間SSH注入的噪聲(如果有的話)。然後,您可以創建傳輸字節數的時間序列,並嘗試使用時間分辨率來查看哪些粒度模型最適合您的跟蹤。此外,您可以將時間序列分解爲兩個組件,一個是SSH協議噪聲和一個用戶活動。
這聽起來像一個經典的無監督學習問題:clustering,例如, k-均值或混合物。提出正確的功能集可能會涉及一些研究。例如,如果隧道連接也是交互式的,則確定來自隧道的交互式會話可能是困難的。在您的模型中,您可以考慮尺寸增量或者甚至包含更多上下文,例如在stepping stone detection中。
相關問題
- 1. ssh連接超時
- 2. SSH連接超時
- 3. ssh連接上連接
- 4. 從python的SSH連接和從PHP讀取文件?
- 5. Net :: SSH :: Perl中的SSH連接超時
- 6. R可以通過SSH連接從文件讀取?
- 7. IPython的:%以上ssh連接
- 8. ssh連接
- 9. SSH連接`authorized_keys`
- 10. Haskell SSH連接
- 11. C#SSH連接
- 12. SSH連接Java
- 13. SSH持久連接超時
- 14. AWS EC2 - 連接超時 - SSH
- 15. 設置SSH連接超時
- 16. Java和SSH:保持連接
- 17. GitLab和SSH/HTTP連接
- 18. SSH反向連接
- 19. Jelastic Apache SSH連接
- 20. ssh連接拒絕
- 21. SSH連接重載
- 22. PyMongo MongoClient SSH連接
- 23. 減少SSH連接
- 24. CentOS 7 ssh連接
- 25. SSH連接丟失
- 26. MacRuby:與net/ssh的SSH連接?
- 27. 通過SSH連接MySQL連接
- 28. Perl ssh連接並執行telnet連接
- 29. SSH連接無法斷開連接
- 30. 使用.pem文件通過ssh連接