基于深度学习的恶意流量分类复现
第一部分-基础知识准备
1.流和会话的定义
最重要的是理解五元组中所包含的内容
2.不同的层次提取
3.Splitcap工具的使用
具体内容可以参见官网:https://www.netresec.com/index.ashx?page=SplitCap
接下来对官网的几个比较有代表性的例子进行实验
(1)
表示按照会话对流量包进行划分,生成若干个小的pcap文件,下图是其中一个pcap文件的内容
(2)
表示按照流对流量包进行划分,生成若干个小的pcap文件
我们通过srcIP和dstIP可以更直观的理解流和会话的区别
(3)
表示对流量包按照会话进行划分,不过只取应用层数据
可以看到生成的bin文件