互联网流量分类

Question

最近，我读了一些关于互联网流量分类的论文，特别是使用机器学习算法。

我打算对它进行研究，我想在本学期的机器学习课上提出一个关于互联网流量分类的项目想法。

我的第一步是在由3-4个客户端组成的本地网络上收集数据。我正在使用wireshark工具来嗅探数据包。

我的下一步是从wireshark数据包中提取TCP流。在这一步中，我尝试在Linux上使用tcpflow。tcpflow为每个流创建不同的文件。在这里，文件的内容大多是二进制的，我不知道如何从这些文件中提取鉴别器。

有人可以给我一个想法或分享他/她的经验，我如何解释tcpflow文件？如果能听到你的建议，我会非常高兴的。

提前谢谢。

Answer 1

以下是您可以从TCP流量中提取的功能的一些想法：

• 端口/协议(大多数协议通常使用服务器上的同一端口)
• 数据包频率和大小(短命令数据包或长数据流)
• TCP连接阶段
• 流错误/

控制消息和速率限制

为了更好地提取特征，您可能需要查看一些协议(HTTP、DNS等)本身的详细信息，而不仅仅是TCP流。我认为wireshark已经做到了这一点，那么为什么不重用他们的库功能呢？

您可能还想看看入侵检测系统( design of intrusion detection systems，IDS)，因为它们对流量几乎做了同样的事情，并试图将其分类为良性或恶意。