SSH…读取PCAP文件以确定SSH连接的空闲时间和连接类型

我正在用Python开发一个用于分析SSH的项目

现在我被两件事困住了：

确定连接的空闲时间（未通过连接传输数据时的时间百分比）

确定连接类型（外壳、隧道、scp等）->连接内部的通道类型

---

如何解决此问题？

在利用特定于域的详细信息时，有时可能会使用加密流量。值得回顾过去的研究，以了解这些方法。特别是对于宋承宪，我建议你读一下宋黎明的文章

另一个示例：根据连接开始时传输的字节数，使用启发式方法区分成功登录和不成功登录

一般来说，我建议记录您以后要分析/分类的活动痕迹。这样，您就掌握了基本事实，可以找出SSH的行为与您期望的不同之处

要确定交互式会话的空闲时间，您需要了解SSH在无活动期间注入的噪声（如果有）。然后，您可以创建一个传输字节数的时间序列，并对时间分辨率进行实验，以查看哪个粒度模型最适合您的跟踪。此外，您可以将时间序列分解为两个组件，一个是SSH协议噪声，另一个是用户活动

这听起来像是一个经典的无监督学习问题：例如k-均值或混合。提出正确的功能集可能需要进行一些研究。例如，如果隧道连接也是交互式的，则从隧道确定交互式会话可能会很困难。在您的模型中，您可以考虑大小增量，甚至包括更多上下文，例如