implementing-network-traffic-baselining
使用 Python pandas 从 NetFlow/IPFIX 数据构建网络流量基线,实现统计分析、Z-Score 异常检测以及按小时/按天的流量模式分析。
Best use case
implementing-network-traffic-baselining is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 Python pandas 从 NetFlow/IPFIX 数据构建网络流量基线,实现统计分析、Z-Score 异常检测以及按小时/按天的流量模式分析。
Teams using implementing-network-traffic-baselining should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-network-traffic-baselining/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-network-traffic-baselining Compares
| Feature / Agent | implementing-network-traffic-baselining | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 Python pandas 从 NetFlow/IPFIX 数据构建网络流量基线,实现统计分析、Z-Score 异常检测以及按小时/按天的流量模式分析。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施网络流量基线分析 ## 概述 网络流量基线通过分析历史 NetFlow/IPFIX 数据,建立正常通信模式的统计画像,反映预期行为。本技能使用 Python pandas 计算按小时和按天的流量分布、每台主机的字节/数据包计数、协议比例和 Top-N 通信者画像。异常检测使用 Z-Score 阈值和 IQR(四分位距)离群值方法,帮助 SOC 分析员识别偏差,例如数据泄露峰值、信标行为(Beaconing)和异常端口使用。 ## 前置条件 - 导出为 CSV 或 JSON 格式的 NetFlow v5/v9 或 IPFIX 流量数据 - Python 3.8+ 及 pandas、numpy 库 - 历史流量数据(基线建议至少 7 天) ## 步骤 1. 从 CSV 或 JSON 导出文件中导入 NetFlow/IPFIX 记录 2. 计算按小时和按天的流量分布(字节、数据包、流量数) 3. 构建每个源 IP 的基线画像(均值、中位数、标准差) 4. 计算协议和端口分布基线 5. 应用 Z-Score 异常检测识别统计离群值 6. 将超过 IQR 阈值的流量标记为潜在异常 7. 生成包含异常告警的基线报告 ## 预期输出 JSON 报告,包含流量基线(按小时/按天画像)、每台主机统计数据、带 Z-Score 的检测异常,以及带偏差指标的 Top 通信者排名。
Related Skills
scanning-network-with-nmap-advanced
使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-ot-network-security-assessment
本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
performing-network-packet-capture-analysis
使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。
performing-network-forensics-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。
performing-external-network-penetration-test
依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。
intercepting-mobile-traffic-with-burpsuite
使用 Burp Suite 代理拦截和分析移动应用的 HTTP/HTTPS 流量,以识别不安全的 API 通信、 认证缺陷、数据泄露和服务器端漏洞。适用于移动应用渗透测试、API 安全评估或 评估客户端-服务器通信模式。适合移动流量拦截、Burp Suite 移动代理、API 安全测试 或移动 HTTPS 分析相关请求。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。