TWSNMP FC:NetFlowの情報をクラスター分析する機能を追加

今朝も雨水を舐めたくて猫は３時半に私を起こしました。ベランダには雨水がないので庭まで誘導されました。おかげで４時から昨日の開発の続きをしています。
昨日作ったNetFlowの情報をヒストグラムで分析する機能は、それなりの表示ができました。
フィルター条件でポート番号を指定して分析したいプロトコルを選択します。例えば、

のようにポート番号４４３を指定するとHTTPSの通信だけを対象にできます。このデータのヒストグラムを表示すると

赤い矢印の山がリクエストで広がっているのが応答のサイズにばらつきがあることを示しています。ポート番号を２２に変えてSSHの通信を対象にすると、ヒストグラムは、

のようになります。赤い矢印がキー入力の送信でたまにファイルの中身やコマンドの実行結果の長い文字列を画面に表示した時が黄色い矢印になっています。なんとなくいい感じで

データ分析によるネットワークセキュリティ

の「10章　探索的データ分析と可視化」に書いてある分析ができているように思います。
この機能の開発は、

NetFlow/IPFIXにヒストグラム分析を追加 · twsnmp/twsnmpfc@97dd4dc

です。
ヒストグラムはわりとうまくいったので、気をよくして

ecomfe/echarts-stat

のクラスタリングも試してみることにしました。プログラムを書き終えて試してみようとしたところで猫が大騒ぎ、「寒いので布団に潜りたい」と言っていたようです。かみさんを起こして空いた布団に潜って静まっています。
猫の騒ぎが修まったところでクラスタリングを試してみました。

のような感じです。思ったより良い感じではないです。動きも変なところであるので調べなければなりません。でも今日は時間切れです。

明日に続く