让我们看看，这应该很容易：阅读一篇好论文，例如 Offline/Realtime Traffic Classification Using Semi-Supervised Learning

然后可能会从完全理解网络安全统计技术的单次阅读中混合一些知识（便宜，亚马逊上只有 160 美元）

然后启动您最喜欢的文本编辑器并编写一些代码，但使用RapidMiner或Weka，因为，对这些算法进行编码太容易了。

最后花几个小时调整算法，然后你的所有设置。

撇开讽刺不谈，上述步骤概述了一种在学术上流行的方法，可以创造性地解决许多安全方面的难题。我希望我可以说我可以熟练地完成上述操作-也许您可以编写一个工具来做到这一点！

我将从此处的 IANA 列表开始。接下来，我将调查网络中流量流入/流出的主机，以尝试确定负责流量的应用程序。如果您在 IANA 列表中找到它，那么这只是一个验证步骤。如果流量是一致的并且不是恶意的，您应该能够使用主机上的 netstat 找出哪个应用程序正在接收/生成流量。

我们使用来自 The Hacker's Choice 的 Amap。如果有人试图通过更改其端口号来混淆服务，Amap 将识别它。如果它是 Amap 不知道的协议，那么您仍然是 SOL。

http://freeworld.thc.org/thc-amap/

Amap 是用于辅助网络渗透测试的下一代工具。它执行快速可靠的应用程序协议检测，独立于它们绑定的 TCP/UDP 端口。