analyzing-network-flow-data-with-netflow

解析 NetFlow v9 和 IPFIX 记录,检测容量异常(volumetric anomalies)、端口扫描(port scanning)、数据外泄(data exfiltration)和 C2 信标模式(C2 beaconing patterns)。使用 Python netflow 库解码流记录, 构建流量基线,并应用统计分析识别字节数异常、连接时长异常和周期性定时模式的流量。

9 stars

Best use case

analyzing-network-flow-data-with-netflow is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

解析 NetFlow v9 和 IPFIX 记录,检测容量异常(volumetric anomalies)、端口扫描(port scanning)、数据外泄(data exfiltration)和 C2 信标模式(C2 beaconing patterns)。使用 Python netflow 库解码流记录, 构建流量基线,并应用统计分析识别字节数异常、连接时长异常和周期性定时模式的流量。

Teams using analyzing-network-flow-data-with-netflow should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-network-flow-data-with-netflow/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-network-flow-data-with-netflow/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-network-flow-data-with-netflow/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-network-flow-data-with-netflow Compares

Feature / Agentanalyzing-network-flow-data-with-netflowStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

解析 NetFlow v9 和 IPFIX 记录,检测容量异常(volumetric anomalies)、端口扫描(port scanning)、数据外泄(data exfiltration)和 C2 信标模式(C2 beaconing patterns)。使用 Python netflow 库解码流记录, 构建流量基线,并应用统计分析识别字节数异常、连接时长异常和周期性定时模式的流量。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

## 指令

1. 安装依赖:`pip install netflow`
2. 从路由器采集 NetFlow/IPFIX 数据,或使用内置采集器:`python -m netflow.collector -p 9995`
3. 使用 `netflow.parse_packet()` 解析捕获的流数据。
4. 分析流量,检测以下内容:
   - 端口扫描(Port scanning):单一源地址扫描同一端口的大量目标
   - 数据外泄(Data exfiltration):向异常目标发送的高字节数出站流量
   - C2 信标(C2 beaconing):具有固定间隔的周期性连接
   - 容量异常(Volumetric anomalies):超出基线阈值的流量峰值
5. 生成按优先级排列的发现报告。

```bash
python scripts/agent.py --flow-file captured_flows.json --output netflow_report.json
```

## 示例

### 解析 NetFlow v9 数据包
```python
import netflow
data, _ = netflow.parse_packet(raw_bytes, templates={})
for flow in data.flows:
    print(flow.IPV4_SRC_ADDR, flow.IPV4_DST_ADDR, flow.IN_BYTES)
```

Related Skills

testing-for-sensitive-data-exposure

9
from killvxk/cybersecurity-skills-zh

在安全评估中识别敏感数据暴露漏洞,包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。

securing-github-actions-workflows

9
from killvxk/cybersecurity-skills-zh

本技能涵盖加固 GitHub Actions 工作流以防范供应链攻击、凭据盗窃和权限提升。 内容包括将 action 固定到 SHA 摘要、最小化 GITHUB_TOKEN 权限、防止机密泄露、 防止工作流表达式中的脚本注入,以及为工作流变更实施必要的审阅者机制。

scanning-network-with-nmap-advanced

9
from killvxk/cybersecurity-skills-zh

使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-sqlite-database-forensics

9
from killvxk/cybersecurity-skills-zh

对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。

performing-ot-network-security-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

performing-network-packet-capture-analysis

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。

performing-network-forensics-with-wireshark

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。

performing-external-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。