我正在写一篇关于网络流量模式识别的论文。输入文件包含数以千计的数据行,每行都提供时间戳、源和目标 IP 地址、源和目标端口、接口、字节数以及在源和目标之间交换的数据包以及协议等信息。数据线中的开始时间和结束时间总是相同的。
我的问题是是否可以仅根据提供的信息将所有 IP 地址分配给路由器/服务器/客户端等类别,或者是否还有其他必要信息才能正确分配所有地址?(使用的端口大约是 100-150 并且都已注册和未注册)。
谢谢!
问问题
33 次
1 回答
0
您的问题非常广泛,因为它在很大程度上取决于您想到的类别。例如,您对服务器的定义是什么?无论如何,从技术上讲,NetFlow 不支持任何类型的端点类型限定,因此您必须依赖统计数据。如果某个目标 IP 地址具有大量(绝对)流量到例如(目标)端口 25,则它可能是 SMTP 服务器。发件人也许可以归类为客户端,除非它也收到大量 SMTP 流量(因此它会进行中继)。由于 NetFlow 通常在路由器上运行(在交换机上不太频繁),您的 NetFlow 源 IP 地址很可能是路由器。大量进出特定端口上的 IP 地址的流量很可能将该 IP 地址命名为服务器。你必须为此确定界限。并且 - 如果需要 - 服务器的类型。SMTP 还可以运行非标准端口(例如 80),这种可能性较小,但您可以通过测量入口数据量与出口数据量来检测到这一点。我的猜测是,几个标准协议对此具有可识别的比率。
于 2017-09-24T11:16:20.400 回答