流量格式转换
在网络中捕获的流量数据包的初始格式通常为pcap格式,内容表现形式为 16进制的数据
为了将其转化为安全分析人员熟知的IP、端口等内容,需要将pcap格式转换成netflow格式
pacp —-> netflow
(1)pcap格式
pcap:Global Header(24B)、Packet Header(16B)、Packet Data(共n个字节)
Global Header:定义了该文件的最大存储长度、读取规则等内容
Packet Header:数据包包头。定义了数据包的时间戳、长度等内容
Packet Data:数据
(2)netflow格式
7元组:源IP地址、目的IP地址、源端口号、目的端口号、协议种类、服务种类、输入接口
如果两段流量的7元组相同,则属于同一个数据流,否则属于不同的数据流
(3)转换方法
在ubuntu环境下,借助3种工具,分别是softflowd、nfcapd、nfdump
softflowd:读取pcap文件,并将其转换为netflow,输出至指定端口,包含老化时间、抽样等多项参数
nfcapd:在指定端口接收netflow数据,并输出为netflow文件
nfdump:读取netflow文件
Original: https://blog.csdn.net/Dajian1040556534/article/details/121332579
Author: 过动猿
Title: 研究性论文_基于层次聚类方法的流量异常检测
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/550798/
转载文章受原作者版权保护。转载请注明原作者出处!